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内 容 简 介 
本 书 为 “日 志 审 计 与 分 析 ” 课 程 的 配套 实验 指导 教材 。 全 书 共 7 章 ,主要 内 容 包括 日 志 的 基本 配置 、 
日 志 采 集 配 置 、 资 产 日 志 管 理 与 设置 .系统 日 志 采 集 配 置 、 日 志 存 储 与 分 析 、 查 询 与 报表 ,以 及 综合 课程 
设计 。 
本 书 由 奇 安信 集团 针对 高 校 网 络 空间 安全 专业 的 教学 规划 组 织 编写 , 既 适 合作 为 网 络 空间 安全 、 信 
上 县 安全 等 专业 的 本 科 生 实验 教材 ,也 适合 作为 网 络 空间 安全 研究 人 员 的 基础 谈 物 。 
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LUC HH 一 


21 世纪 是 信息 时 代 ,信息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 直接 关系 到 国家 安全 ,企业 经 营 和 人 们 的 日 常生 活 。 随 着 
信息 安全 产业 的 快速 发 展 , 全 球 对 信息 安全 人 才 的 需求 量 不 断 增 加 ,但 我 国 
H Bij fri E x 4 ALIE RC RE [EE Z , 远 远 不 能 满足 金融 商业、 公安 .车 事 和 政府 等 
部 门 的 需求 。 要 解决 供需 矛盾 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设立 信息 安全 本 科 专 业 , 而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方 回 的 具有 硕士 和 博士 学 位 授予 权 的 
"FRE EA e 

信息 安全 是 计算 机 、. 通信、 物理. 数学 等 领域 的 交 义 和 学科 ,对 于 这 一 新 兴 
学 科 的 培养 模式 和 课程 设置 ， Pag 因此 中 国 计 算 机 学 会 
育 专 业 委 员 会 和 清华 大 学 出 版 社 联合 主办 了 “信息 安全 专业 教育 教学 人 研讨 
会 ”等 一 系列 人 研讨 活动 ,并 成 立 了 “局 等 院 校 信息 安全 专业 系列 教材 ”编审 委员 
会 ,由 我 国信 息 安全 领域 者 名 去 专家 首 国 镇 教授 担任 编 委 会 主任 ,指导 “高 等 院 校 
信息 安全 专业 系列 教材 ”的 ph 编 委 会 本 看 人 钱 究 先行 的 指导 原则 ,认真 
人 研讨 国内 外 高 等 院 校 信息 专业 的 教学 体系 和 诬 程 设置 ,进行 了 大 量具 有 前 
脆性 的 研究 工作 ,而 Saisir iati Es] fri A, x E To My HS EE AS BD 
A. RIZA BITES BE BE TEA Te My AA DRE] 5e RAE iB » LEAF — 2X 
有 丰富 的 教学 经 验 的 学 者 .专家 。 

该 系列 教材 是 我 国 第 一 套 专 门 针 对 信息 总 业 的 教材 ,其 特点 是 : 

O 体系 完整 ,结构 合理 、 内 容 先 进 。 

O 适应 面 广 : 能 够 满足 信息 安 人 全、 计算机、 通信 工程 等 相关 专业 对 信息 
aiun i. 

O 立体 配套 : 除 主 教材 外 ,还 配 有 多 媒体 电子 教案 .习题 与 实验 指导 等 。 

版 本 更 新 及 时 , 紧 跟 科学 技术 的 新 发 展 。 

在 全 力 做 好 本 版 教材 ,满足 学 生 用 书 的 基础 上 ,还 经 由 专家 的 推荐 和 审 
XE ,和 半 选 了 一 批 国 外 信息 安全 领域 优秀 的 教材 加 入 系列 教材 中 ,以 进一步 满 
OA “高 等 院 校 信息 安全 专业 系列 教材 ”已 于 2006 年 年 
初 正 式 列 人 普通 高 等 教育 “十 一 五 ?国家 级 教材 规划 。 

2007 年 6 月 ,教育 部 高 等 学 校 信息 安 全 类 专业 教学 指导 委员 会 成 立 大 会 


日 志 审计 与 分 析 实验 指导 


医 第 一 次 会 议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 局 等 学 校 信息 安全 类 专业 教学 指导 委 
员 会 主任 单位 北京 工业 大 学 和 北京 电子 科技 尝 院 主办 ,清华 大 学 出 版 社 协 办 。 教 育 部 高 
等 学 校 信 息 安 全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安全 专业 的 发 展 起 到 重要 的 指 
导 和 推动 作用 。2006 年 教育 部 给 武汉 大 学 下 达 了 “信息 安全 专业 指导 性 专业 规范 人 研制 ” 
的 教学 科研 项 目 。2007 年 起 该 项 目 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 
组 织 实 施 。 在 高 教 司 和 教 指 委 的 指导 下 ,项 目 组 团结 一 人 致 ,努力 工作 ,元 服 困 难 , 历 时 5 
年 ,制定 出 我 国 第 一 个 信息 安全 专业 指导 性 专业 规范 ,于 2012 年 年 底 通 过 经 教育 部 高 等 
教育 司 理工 科教 育 处 授权 组 织 的 专家 组 评审 ,并 且 已 经 得 到 武汉 大 学 等 许多 高 校 的 实际 
使 用 。2013 年 ,新 一 届 教 育 部 局 等 学 校 信息 安全 专业 教学 指导 委员 会 成 立 。 经 组 织 审 查 
和 研究 决定 ,2014 年 以 教育 部 高 等 学 校 信 息 安全 专业 教学 指导 委员 会 的 名 义 正式 发 布 
《高 等 学 校 信息 安全 专业 指导 性 专业 规范 》( 由 清华 大 学 出 版 社 正 式 出 版 )。 

2015 年 6 月 ,国务 院 学 位 委员 会 .教育 部 出 台 增 设 “ 网 络 空间 安全 ”为 一 级 学 科 的 决 
XE ,将 高 校 培 养 网 络 空间 安全 人 才 提 到 新 的 高 度 。2016 年 6 月, 中央 网 络 安 全 和 信息 化 
领导 小 组 办 公 室 (下 文 简 称 中 央 网 信 办 ) 、 国 家 发 展 和 改革 委员 会 .教育 部 、 科 学 技术 部 、 工 
业 和 信息 化 部 及 人 力 资源 和 社会 保障 部 六 大 部 门 联合 发 布 (关于 加 强 网 络 安 全 学 科 建 设 
和 人 才 培 养 的 意见 (中 网 办 发 文 [2016J4 号 )。2019 年 6 月 ,教育 部 高 等 学 校 网 络 空间 安 
全 专业 教学 指导 委员 会 召开 成 立 大 会 。 为 贯彻 落实 《关于 加 强 网 络 安全 学 科 建 设 和 人 才 
培养 的 意见 》, 进 一 步 深 化 高 等 教育 教学 改革 ,促进 网 络 安全 学 科 专 业 建 设 和 人 才 培 养 , 促 
进 网 络 空间 安全 相关 核心 课程 和 教材 建设 ,在 教育 部 高 等 学 校 网 络 空 间 安 全 专业 教学 指 
导 委 员 会 和 中 央 网 信 办 资助 的 网 络 空间 安全 教材 建设 课题 组 的 指导 下 ,局 动 了 “网 络 空间 
安全 重点 规划 从 书 ” 的 工作 ,由 教育 部 局 等 学 校 网 络 空间 安全 专业 教学 指导 委员 会 秘书 长 
封 化 民 校 长 担任 编 委 会 主任 。 本 规划 丛书 基于 ”高 等 院 校 信息 安全 专业 系列 教材 ?坚实 的 
工作 基础 和 成 果 、 阵容 强大 的 编审 委员 会 和 优秀 的 作者 队伍 ,目前 已 经 有 多 本 图 书 获 得 教 
育 部 和 中 央 网 信 办 等 机 构 评 选 的 “普通 高 等 教育 本 科 国 家 级 规划 教材 ”普通 高 等 教育 精 
品 教材 近 中 国 大 学 出 版 社 图 书 奖 ”和 “国家 网 络 安全 优秀 教材 奖 ” 等 多 个 奖项 。 

“网 络 空间 安全 重点 规划 从 书 ” 将 根据 《4 蜗 等 学 校 信息 安全 专业 指导 性 专业 规范 》( 太 
后 续 版 本 ) 和 相关 教材 建设 课题 组 的 研究 成 果 不 断 更 新 和 扩展 ,进一步 体现 科学 性 、 系 统 
性 和 新 宁 性 ,及 时 反映 教学 改革 和 这 程 建设 的 新 成 果 , 并 随 着 我 国 网 络 空 间 安 全 学 科 的 发 
展 不 断 完 善 ,力争 为 我 国 网 络 空间 安全 相关 学 科 专 业 的 本 科 和 研究生 教 材 建设 .学 术 出 版 
与 人 才 培 养 做 出 更 大 的 贡献 。 

我 们 的 E-mail 地 址 是 : zhangm(? tup. tsinghua. edu. cn. BE ZR A. 张 民 。 


“网 络 空间 安全 重点 规划 丛书 ”编审 委员 会 
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没有 网 络 安 全 ,就 没有 国家 安全 ;没有 网 络 安全 人 才 ,就 没有 网 络 安 全 ，。 

为 了 更 多 、 更 快 . 更 好 地 培养 网 络 安全 人 才 ,如 今 , 许 多 学 校 都 在 加 大 投 
入 ,聘请 优秀 教师 ,招收 优秀 学 生 ,建设 一 流 的 网 络 空间 安全 专业 。 

网 络 空间 安全 专业 建设 需要 体系 化 的 培养 方案 .系统 化 的 专业 教材 和 专 
业 化 的 师资 队伍 。 eosque s 间 安全 专业 人 才 培 养 的 基础 ,也 是 一 项 
十 分 艰巨 的 任务 。 原 因 有 二 :其 一 ,网 络 空间 安全 的 涉及 面 非常 广 , 至 少 包括 
密码 学 、 数 学 、 piep 通信 工程 、 信息 工 程 等 多 门 学 科 , 因 此 ,其 知识 体系 庞 
Zi ,难以 梳理 ;其 二 ,网 络 空 间 安 全 的 实践 性 很 强 , 技 术 发 展 更 新 非常 快 ,对 环 
境 和 师资 要 求 也 很 高 。 

本 书 是 日志 审 计 与 分 析 ” 课 程 的 配套 实验 指导 教材 。 通 过 实践 教学 , 理 
解 和 掌握 日 志 审 计 与 分 析 系 统 基 本 的 配置 方法 .管理 和 使 用 流程 ,从 而 培养 
学 生 对 日 志 审 计 与 分 析 系 统 的 部 署 能 力 , 可 以 运用 所 学 技术 和 方法 解决 不 同 
应 用 的 日 志 审 计 与 分 析 需 求 。 

本 书 共 分 为 7 章 。 第 1 章 介 绍 日 志 的 基本 配置 ,第 2 章 介 绍 日 志 采 集 配 
置 ,第 3 章 介 绍 资产 日 志 管 理 与 设置 ,第 4 章 介 绍 系统 日 志 采 集 配 置 ,第 5 章 
介绍 日 志 存储 与 分 析 , 第 6 草 介绍 查询 与 报表 ,第 7 草 介 绍 综 合 课 程 设计 , 即 
日 志 审 计 与 分 析 系 统 综合 实验 。 

在 本 书 的 编写 过 程 中 ,得 到 奇 安 信 集 团 的 斐 智 勇 、 难 胜 车 .王朝 ,卢梭 和 
北京 邮电 大 学 雷 敏 等 专家 学 者 的 易 力 文 持 ,在 此 对 他 们 的 工作 表示 庙 心 的 
感谢 ! 

本 书 适 合作 为 网 络 空间 安全 、 信 息 安 全 等 相关 专业 的 实验 教材 。 随 着 新 
技术 的 不 断 发 展 ,今后 将 不 断 地 更 新 本 书 内 容 。 

由 于 作者 水 平 有 限 , 书 中 难免 存在 巩 漏 和 不 妥 之 处 ,欢迎 读者 批评 指正 


作 者 
2019 年 3 H 
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第 2 章 io 
2.1 志 审 计 与 分 析 系 统 首页 场景 演示 实验 - 
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志 审 计 与 分 析 系 统 资产 录入 实验 - 
3.2 志 审 计 与 分 析 系 统 资产 批量 导入 导出 与 属性 设置 实验 


第 4 章 系统 日 志 采 集 配置 : 


1 

2 

3 

4 志 审 计 与 分 析 系 统 数 据 库 日 志 采 集 实 验 - 
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第 6 章 eiii 
i 志 审 计 与 分 析 系 统 预 定义 报表 实验 - 


6 1 - De 
6.2 志 审 计 与 分 析 系 统 网 络 安全 设备 日 志 查 询 分 析 实 验 ee 
6. 3 "T"—— 


志 审 计 与 分 析 系 统 主机 安全 日 志 查 询 分 析 实 验 - 


第 7 音 ”综合 课程 设计 —€———— 


retarted 
日 志 审 计 与 分 析 系 统 过 滤器 实验 ee 
日 志 审 计 与 分 析 系统 关联 分 析 告 警 实验 pe 


村 ds 计 =- A de'r ae 已 
E SPIS mm SJ 


日 志 的 基本 配置 


第 工 草 


日 志 (log) 是 由 各 种 不 同 的 实体 产生 的 “事件 记录 ”的 集合 ,通常 是 计算 机 系统 、 设 备 、 
软件 等 在 某 种 情况 下 记录 的 信息 , 它 可 以 记录 系统 产生 的 所 有 行为 ,并 按照 某 种 规范 将 这 
些 行为 表达 出 来 。 这 些 信 息 可 以 帮助 系统 进行 排 错 、 优 化 系统 的 性 能 ,管理 者 还 可 以 根据 
这 些 信息 调整 系统 的 行为 。 

在 安全 领域 ,日 记 主 要 是 描述 网 络 中 所 发 生 事件 的 信息 ,包括 性 能 信息 、 故 障 检测 和 
入 侵 检 测 ,这 些 信息 可 以 反映 出 很 多 的 安全 攻击 行为 ,例如 登录 错误 、. 异 彰 访 问 等 。 日 志 
不 仅 是 在 事故 发 生 后 查 明 "发 生 了 什么 "的 一 个 很 好 的 “取证 "信息 来 源 , 还 可 以 为 审计 所 
需 的 跟踪 等 工作 提供 有 效 的 带 助 。 

日 志 在 维护 系统 稳定 性 和 安全 防护 方面 都 起 到 非常 重要 的 作用 ,由 此 ,对 日 志 进 行 专 
门 记 录 和 管理 的 设备 应 运 而 生 ,各 种 不 同 的 网 络 设备 .复杂 的 应 用 系统 以 及 数据 库 等 每 天 
者 会 以 各 目的 标准 记录 大 量 相关 的 日 志 , 这 些 日 志 可 以 通过 专门 的 管理 设备 进行 管理 ,这 
些 设 备 称 为 日 志 管 理 设备 。 


1.1 日 志 审 计 与 分 析 系 统 登录 管理 实验 


【知识 点 了 

HTTPS,SSH.,Xshell, 

【实验 目的 】 

通过 Web 和 SSH 两 种 方式 登录 日 志 审计 与 分 析 系统 平台 。 

[3:37 275 2] 

A 公司 采购 了 一 台 日 志 审 计 与 分 析 系统 ,安全 运 维 工 程 师 小 王 是 设备 的 管理 员 ,小 
王 需要 登录 设备 对 设备 进行 基本 的 配置 。 请 思考 应 如 何以 Web. SSH 的 方式 登录 
设备 。 

【实验 原理 】 

在 管理 机 通过 浏览 器 以 Web 方式 登录 日 志 审 计 与 分 析 系统 平台 界面 ,并 通过 Xshell 


日 志 审 计 与 分 析 实 验 指导 


E, DI SSH 的 方式 登录 日 志 审 计 与 分 析 系 统 后 人 台 。 


【实验 设备 】 
。 安 全 设备 : 日 志 审计 与 分 析 设备 1 台 
【实验 拓扑 】 


志 审 计 与 分 析 系 统 登 录 管 理 实验 拓扑 图 如 图 1-1 Bron, 


GEI: 10.70.25.88 


管理 机 : 10.70.25.22/24 
(以 实际 IP 地 址 为 准 ) 


图 1-1 日 志 审 计 与 分 析 系 统 登录 管理 实验 拓扑 图 
【实验 思路 】 


(1) 通过 浏览 器 登录 日 志 系 统 。 
(2) 通过 Xshell 工具 以 SSH 方式 登录 日 志 系 统 后 台 。 


【实验 步骤 


(1) 在 管理 机 中 打开 训 览 亏 , 在 地 址 栏 中 输入 日 志 审 计 与 分 析 产 品 的 IP 地 址 
“https://10. 70. 25. 88” CPR IP 地 址 为 准 ) ,打开 平台 登录 界面 。 由 于 此 网 址 的 证 书 
未 经 过 认证 ,会 显示 “此 站 点 不 安全 ”, 单 击 “ 详 细 人 信息? 按钮 ,如 图 1-2 所 示 。 


此 大 总 不 安全 


这 可 能 意味 看 ， 有 人 正在 尝试 殉 骗 你 或 窗 取 你 发 送 到 服务 器 的 任何 信息 。 你 应 该 立即 关闭 此 站 点 。 


d 关闭 此 标 等 页 


1-2. 添加 信任 站 点 


(2) 在 "详细 信息 ?的 下 面 , 单 击 "* 转 到 此 网 页 (不 推荐 ) 按钮, 这样 在 不 关闭 浏览 厚 的 
情况 下 可 以 正常 访问 此 网 址 ,如 图 1-3 所 示 。 

(3) 使 用 管 理 员 用 户 名 /密码 “admin/11fw(@2soc#3vpn” 登 录 日 志和 审计 与 分 析 系 统 。 
登录 界面 如 图 1-4 所 示 。 

(4) 登录 后 ,需要 修改 admin 用 户 的 密码 ,本 实验 没有 修改 密码 的 必要 ,所 以 “原始 密 
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IG Ea SE 


zxUIBOEDKE , SAETHER URES AS SRRIEER ARE, (apris BDOEPDIECSA RS, 


Q 关闭 此 标签 页 
e 详细 信息 
你 的 电脑 不 信任 此 网 站 的 安全 证 书 。 
该 网 站 的 安全 证 书 中 的 主机 名 与 你 正在 尝试 访问 的 网 站 不 同 。 


错误 代码 : DLG FLAGS INVALID CA 
DLG FLAGS SEC CERT CN INVALID 


Q 转 到 此 网 页 (不 推荐 ) 


1-3 单 击 “ 转 到 此 网 页 ” 


图 1-4 日 志 审 计 与 分 析 系 统 登 录 界 面 


15 "* gp is I3" S AC 2 P3" BARI AL" 1 1£$w(22soc H 3vpn" FE; " ax " T HL E] 1-5 所 示 。 


个 要 与 用 户 登 陆 名 相同 ) 


(请 再 输入 一 次 上 面 的 密码 ) 


图 1-5 修改 密码 


(5) 登录 后 ,将 日 志 审 计 与 分 析 系 统 的 网 址 加 入 浏 
V ask cr PE TUÉS rn. DL DR UE PI y vp d P E WT ELE 9f 5 
示 s air D E Ar Y UE — 3E ETE EU o EA “AR 
容 性 视图 设置 ?界面 ,如 图 1-6 所 示 。 

(6) 进入 “兼容 性 视 图 设置 ?界面 后 ,在 "添加 此 网 
站 (D):” 下 面 输入 设备 地 址 “10. 70. 25. 88”, 然后 单 击 | 
“添加 (A)” 按 钮 ,如 图 1-7 所 示 。 图 1-6 设置 浏览 器 兼容 性 视图 
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EEMS 


veU mb: | 
| 10./0.25.88 


已 漆 加 到 兼容 性 视图 中 的 网 站 (W): 


[^] 在 菲 容 性 视图 中 显示 Intranet 站 点 由 
使 用 Microsoft 兼容 性 列表 (U) 
阅读 Internet Explorer 隐私 声明 了 解 详细 信息 


图 1-7 添加 网 址 


(7) SEIN ETE I BR ,关闭 " 妇 容 性 视图 设置 界面。 进入 日 志 审 计 导 分 析 系 统 主 
页 面 , 便 可 根据 震 要 进行 相应 配置 ,如 图 1-8 HZR o 


IS. SecFox-LAS 
gr 4bru| EB Ua haw fm CAR Ram 回 | 系统 日 志 


Wr 
日 志 采 集 说 明 


lam 
‘E 


添加 查询 场景 


添加 启用 告警 规则 


图 1-8 日 志 审 计 与 分 析 系 统 主页 面 
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(8) 在 管理 机 中 打开 Xshell 工具 ,使 用 此 工具 以 SSH 的 方式 远程 连接 日 志 审 计 与 分 
析 系 统 后 台 , 如 图 1-9 Br. 


二 


1-9 打开 Xshell 工具 


(9) 在 会 话 框 中 选择 “新 建 ” 命 令 , 如 图 1-10 所 示 。 


协议 HPA  #H 


psehli or boss (S) 


图 1-10 新建 会 话 


(10)“ 主 机 ”输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “10. 70. 25. 88”( 以 实际 IP. 地 址 为 
准 ) ,其 他 设置 保持 寺 认 ,完成 后 单 击 “确定 ”按钮 ,如 图 1-11 所 示 。 

(11) 刚刚 新 建 的 会 话 会 在 “所 有 会 话 ” 中 显示 ,选中 “新 建 会 话 ”, 单 击 “ 连 接 (C)” 按 
钮 ,如 图 1-12 所 示 。 

(12) 会 话 连接 后 ,登录 的 用 户 名 输入 admin, 单 击 “ 确 定 ” 按 钮 ,如 图 1-13 所 示 。 

(13) 进行 SSH 用 户 身 份 验证 ,输入 “密码 ”为 “@1fw H 2soc $ 3vpn" , Hi; “mii” T 
钮 ,如 图 1-14 所 示 。 
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连接 
常规 


TERN): 
协议 (P): 
主机 (H): 
端口 号 (9): 


说 明 (D): 


重新 连接 
| 连接 异常 关闭 时 自动 重新 连接 (A) 
间隔 (V): 0 al RAW: 


TCP 选 项 


L- ZMODEM 


nre di A à x um OB 


所 有 会 话 


回 启 动 时 显示 此 对 话 框 (s) 


[| 使 用 Nagle 算 法 (U) 


图 1-11 配置 新 建 会 话 属性 


图 1-12 会 话 连 接 


$13 日 志 的 基本 配置 


远程 主机 ; 10.70.25.88:22 (新 建 会 话 ) 
服 邯 器 类 型 ; 55H2, ÜpenS5H. 4.3 


请 输入 登录 的 用 户 名 人 E) 
adminl 


LEAP ZR) 


确定 
1-13 输入 SSH 用 户 名 


SSAP ABSE 


inia EY: 10.70.25.88:22 {新建 会 话 ) 
登录 种 : admin 
服务 器 类 型 $5H2, OpenSSH_4.3 


ME FIBI FEIS SAEI DH UE TAJEHEDUO S Pr IPIS BRL. 


(9) Password(P) 


mN): akoko 


C Public KeyfU) 


L DE TESERXR) 


图 1-14 SSH 用 户 身 份 验证 


【实验 预期 】 
以 SSH 的 方式 登录 系统 后 台 成 功 。 
【实验 结果 】 


(OD 会 话 框 中 出 现 “admin(@SecFox LAS 一 ”, 说 明 以 SSH 方式 登录 成 功 , 如 图 1-15 
所 示 。 
Connecting to 10.70. 25. 88:22... 


Connection established. 
To escape to local shell, press 'Ctrl+Alt+]'. 


Last login: Mon Jan 15 11:03:42 2018 
[admingSecFox LAS -]$ J 


图 1-15 SSH 登录 成 功 
(2) 综 上 所 述 , 日 志 审 计 与 分 析 系 统 可 以 通过 HTTPS 和 SSH 两 种 方式 登录 。 
【实验 思考 】 
以 SSH 的 方式 登录 后 应 该 如 何 修改 用 户 名 密码? 


1.2 日 志 审 计 与 分 析 系 统 用 户 与 权限 管理 实验 


【实验 目的 】 


日 志 审 计 与 分 析 系 统 在 创建 用 户 时 , 震 要 选择 用 户 的 角色 信息 ,不 同 的 角色 信息 对 应 
看 不 同 的 用 户 权 限 ,登录 admin 管理 员 用 户 创建 新 的 用 户 ,并 确定 用 户 的 角色 信息 ,完成 
M RIP EE 本 实验 分 别 完成 对 系统 管理 员 、 安 全 管理 员 、 审 计 管 理 员 的 创建 和 


【知识 点 】 
权限 管理 、 系 统管 理 员 、 安 全 管理 员 、 审 计 管理 员 ， 
【实验 场景 】 


A 公司 的 日 志 审 计 与 分 析 设 备 由 安全 运 维 工程 师 小 王 负 责 。 公 司 为 小 王 增 派 了 三 
名 助手 ,分 别 作为 设备 的 系统 管理 员 .安全 管理 员 、 审 计 管 理 员 ,共同 负责 日 志 审计 与 分 析 
设备 的 维护 。 因 此 ,小 王 需要 为 三 名 助手 创建 新 的 管理 员 用 户 ,并 且 要 求 每 个 助手 只 能 管 
理 目 己 所 负责 的 部 分 ,不 可 越权 。 请 思考 应 如 何 决 这 个 问题 。 


【实验 原理 】 

日 志 审 计 与 分 析 系 统管 理 员 用 户 admin 拥有 最 高 权限 ,可 以 创建 其 他 管理 员 用 户 ， 
日 志 审 计 与 分 析 系 统 的 管理 员 分 为 安全 管理 员 、 审 计 管 理 员 和 系统 管理 员 三 种 。 在 创建 
管理 员 用 户 时 ,需要 确定 用 户 的 角色 信息 ,不 同 的 角色 信息 对 应 着 不 同 的 用 户 权 限 , 从 而 
实现 对 用 户 的 权限 管理 


【实验 设备 】 
”安全 设备 : 日 志 审计 与 分 析 设 备 1 台 
【实验 拓扑 了 


日 志 审 计 与 分 析 系 统 用 户 与 权限 管理 实验 拓扑 图 如 图 1-16 所 示 。 


管理 机 : 10.70.25.22/24 
(以 实际 IP 地 址 为 准 ) 


图 1-16 日 志 审 计 与 分 析 系 统 用 户 与 权限 管理 实验 拓扑 图 


Egg 2$ 1o 日 去 的 基本 配置 mem 


【实验 思路 】 


d) 以 管理 员 admin HP I] Ero XE o Hoo GE S ^ PT RE. 

(2) 创建 一 个 系统 管理 员 用 户 zhushoul .一 个 安全 管理 员 zhushou2 .一 个 审计 管理 
员 zhushou3, 

(3) 分 别 使 用 zhushoul,zhushou2,.zhushou3 用 户 登 录 系 统 , 查 看 用 户 权 限 , 并 与 
admin 用 户 权 限 进 行 比较 。 


ETET? 


(1) 在 管理 机 中 打开 浏览 器 ,在 地 址 栏 中 输入 日 志 审 计 与 分 析 产 品 的 IP 地 址 
“https://10.70.25.88”( 以 实际 IP 地 址 为 准 ), 打 开平 台 登 录 界 面 。 由 于 此 网 址 的 证 书 
未 经 过 认证 ,会 显示 “此 站 点 不 安全 ”, 单 击 “ 详 细 信 息 ” 按 钮 。 

(2) 在 “详细 信息 ”的 下 面 , 单 击 “ 转 到 此 网 页 ”按钮 ,这 样 在 不 关闭 浏览 器 的 情况 下 可 
以 正 背 访问 此 网 址 。 

(3) 使 用 管理 员 用 户 名 /密码 "admin ! 11$w(22soc # 3vpn" f k H zs HH 3 2T HT IR ECL 
登录 界面 。 

(4) 登录 后 ,需要 修改 admin 用 户 的 密码 ,本 实验 设 有 修改 密码 的 必要 ,所 以 "原始 密 
人 码 ”“ 新 密码 ”确认 新 密码 ”都 输入 “11fw(@2soc#3vpn”, 单 击 “ 确 定 ” 按 钮 。 

(5) 登录 后 ,将 日 志 审 计 与 分 析 系 统 的 网 址 加 入 浏览 器 兼容 性 视图 中 ( 仅 TE. 90] a aS 
需 设 置 ) ,以 保证 网 站 中 的 内 容 可 以 正确 显示 , 单 击 浏览 器 的 “设置 ”一 “兼容 性 视图 设置 ”， 
进入 “兼容 性 视图 设置 ?界面 。 

(6) 进入 "兼容 性 视图 设置 ?界面 后 ,在 "添加 此 网 站 (D): "下面 输入 设备 地 址 “10. 70. 
25. 88”, 然 后 单 击 “添加 ”。 

(7) 完成 兼容 性 设置 后 ,关闭 "兼容 性 视图 设置 ?界面 ,进入 日 志 审 计 与 分 析 系 统 界 
面 ,选择 "权限 ?命令 ,进入 权限 模块 ,如 图 1-17 所 示 。 


S SecFox-LAS 


Qan gar Qae nam Taes|zER|xER Traas č 


1-17 进入 “权限 "模块 


ms 日 志 审 计 与 分 析 实 验 指 性 ”ES 


(8) 依次 单 击 “ 权 限 " 一 "用户 管理 ,进入 “用户 管理 "界面 ,选择 “添加 ”命令 ,如 图 1-18 
Bra. 


IS SecFox-LAS 


xm gar Ce haw 同 报表 LR qx o 梧 系 统 B 志 
权限 ”权限 > 用 户 管理 > 用 户 列表 
C3 权限 Lh eom 

-E IP 登 录 限制 


dà ZBERE 
-Ô smom 


O APERE 


图 1-18 添加 用 户 1 


(9) 添加 用 户 时 ,首先 编辑 用 户 信 息 , 用 户 登 录 名 以 及 真实 姓名 均 输 入 zhushoul , 登 
xx 2 RH LRL TA 2S fS A 360testtest. Wh K] 1-19 所 示 。 


APASHA” 
登录 密码 ” 
Im" 
电子 邮件 地 址 


图 1-19 编辑 用 户 1 信息 


(10) 确定 用 户 的 “角色 信息 ”, 此 处 的 角色 信息 为 创建 用 户 的 必 填 选项 ,有 三 个 身份 
可 以 选择 :“ 系 统管 理 员 有 安全 管理 员 ” 和 ”审计 管理 员 ”, 本 实验 中 选择 “系统 管理 员 ”, 单 
击 “ 确 定 ” 按 钮 ,如 图 1-20 所 示 。 

(11) 添加 成 功 后 ,名 为 zhushoul 的 用 户 出 现在 用 户 列 表 中 ,如 图 1-21 所 示 。 

(12) 同 理 , 继 续 添加 安全 管理 员 zhushou2 ,按照 步骤 (8) 一 (9) 的 做 法 添加 ,但 名 称 输 
A zhushou2 ,密码 依然 为 360testtest, 如 图 1-22 所 示 。 

d3) 确定 用 户 的 角色 信息 ,zhushou2 的 角色 信息 选 定 为 “安全 管理 员 ”, 如 图 1-23 
所 示 。 
dA 添加 成 功 后 ,名 为 zhushou2 的 用 户 出 现在 用 户 列 表 中 ,如 图 1-24 所 示 。 
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E queo APEE: EMI 


seem 
Lsicengs 


图 1-20 选择 角色 1 信息 


" RRE > 用 户 管 理 > 用 户 列表 
dmm 


O MAARE APARAS 电子 邮件 地 址 
[] zhushoul zhushoul 


图 1-21 添加 用 户 1 成功 


DE SEL PES f 


用 户 信息 | | 角色 信息 


APASHA” 


登录 密码 ” 


图 1-22 编辑 用 户 2 信息 
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i EE s FH EE EE > ET m 


| 用 户 信息 | | 角色 信息 


图 1-23 选择 角色 2 信息 


(» im» Bnrm > 用 户 列 表 
"o RC A 
O HP —— T 


[] zhushoul zhushoul 
D] zhushou2 zhushou2 


图 1-24 添加 用 户 2 成 功 


(15) 同 理 ,继续 添加 安全 管理 员 zhushou3 ,按照 步骤 (8) 一 (9) 的 做 法 添加 ,但 名 称 输 
入 zhushou3 , 塞 码 依然 为 360testtest, 如 图 1-25 所 示 。 


D 4B» 》 用 户 管 理 》 添 加 用 户 

| 用 户 信息 | | 角色 信息 | 
— 
用 户 真实 姓名 * 
登录 密码 * Lacs EN 
— 
电子 邮件 地 址 


图 1-25 ”编辑 用 户 3 信息 
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(16) 确定 用 户 的 角色 信息 ,zhushou3 的 角色 信息 选 定 为 “审计 管理 员 ”, 如 图 1-26 
所 示 。 


由 MR? AAEE: 添加 用 户 


| 用 户 信息 | | 角色 信息 | 
角色 


GREHA 
BET iini 
L] - 


图 1-26 ”选择 角色 3 信息 


(17) 添加 成 功 后 ,名 为 zhushou3 的 用 户 出 现在 用 户 列 表 中 ,如 图 1-27 Bron. 


O 权限 > 用 户 管理 > 用 户 列 表 
FEST 


O 用 户 意 革 各 用 只 真实 姓名 所 于 邮件 地 址 
[] zhushoui zhushoui 
C] zhushou?2 zhushou2 
[] zhushou3 zhushou3 


图 1-27 添加 用 户 3 成 功 


【实验 预期 


(1) 使 用 zhushoul „zhushou? .zhushou3 用 户 可 以 正常 登录 。 
(2) 登录 zhuhsoul „zhushou? .zhushou3 用 户 后 ,查看 用 户 权 限 并 与 admin 用 户 比 较 。 


【实验 结果 】 


(OD 单 击 日 志 审 计 与 分 析 系 统 界 面 右 上 和 角 的 “退出 ”按钮 ,退出 当前 用 户 的 登录 ,如 
图 1-28 所 示 。 

(2) 登录 刚刚 创建 的 用 户 ,在 浏览 大 地 址 栏 中 输入 日 
志 审 计 与 分 析 产 品 的 IP 地 址 “https://10. 70. 25. 88”( 以 
实际 IP 地 址 为 准 ) ,打开 平台 登录 界面 ,使 用 用 户 名 /密码 


图 1-28 登录 界面 


mum 日 志 审 计 与 分 析 实 验 指导 ”ES 


“zhushoul/360testtest ”登录 设备 平台 ,如 图 1-29 所 示 。 


í | j j fi 
em. 


i^ D. EEn J 
gus. 5602 5602 


s 


图 1-29 登录 界面 


(3) 登录 后 ,需要 输入 原始 密码 和 新 密码 ,本 实验 没有 必要 修改 密码 ,所 以 “原始 密 
13 "* gp s p" B AC 2S 3" A A 360testtest , 单 击 “ 确 是” 按钮 ,如 图 1-30 所 示 。 


FITITIITITITTTO x ftx 5 


(二 码 由 10-128 个 字母 、 数 字 字 符 混合 组 成 请 
| 不 要 与 用 户 登陆 名 相同 ) 


RES. s ERASER) 


1-30 修改 密码 


(4) 进入 用 户 界 面 后 ,查看 zhushoul 的 用 户 权限 ,发 现 作为 系统 管理 员 的 功能 模块 
只 有 “权限 ”和 “系统 ”, 如 图 1-31 所 示 。 


山 权限 > 用 户 管理 > 用 户 列表 
是 添加 让 修改 AGES 
[] 用 户 登 录 各 


| ] zhushoui 


图 1-31 查看 用 户 的 权限 


(5) 在 “权限 ?模块 中 ,添加 用 户 也 仅仅 可 以 添加 系统 管理 员 ,如 图 1-32 Bron, 

(6) 同 理 ,登录 刚刚 创建 的 zhushou2 ,登录 方式 与 “实验 结果 ”中 的 步骤 (1) 一 (3) 相 
同 ,但 用 户 名 需要 改 为 zhushou2 ,但 功能 只 有 ”主页 ”资产 ”事件 ?等 模块 ,如 图 1-33 
所 示 。 
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Oo 权限 》 用户 管理 > 添加 用 户 


| 用 户 信息 | | 角色 信息 | 
角色 


-ORRERA 


图 1-32 添加 用 户 的 权限 


G C2 C C2 [€ [5] kd 
C3 视图 
口 - 司 日 志 审计 
-图 运 准 人 员 
E] 管理 员 
E] 主管 
-图 测试 人 员 


一 列 布局 v 


图 1-33 查看 用 户 2 的 权限 


C) 同 理 ,登录 刚刚 创建 的 zhushou3, 登 录 方 式 与 “实验 结果 ”中 的 步骤 (1) 一 (3) 相 
In] ,但 用 户 名 需要 改 为 zhushou3, 但 功能 只 有 “系统 日 志 ” 等 模块 ,如 图 1-34 所 示 。 


IS SecFox-LAS 


F 


图 1-34 查看 用 户 3 的 权限 


综 上 所 述 ,日 志 审 计 与 分 析 系 统 可 通过 角色 信息 来 管理 用 户 权 限 , 可 成 功 解决 实验 场 
景 中 的 类 似 问 题 。 


【实验 思考 】 


(1) 如 来 公司 需要 zhushoul 系统 管理 员 用 户 活 加 新 的 系统 管理 员 用 户 ,助手 应 该 如 
15 


何 做 ? 
(2) 如 何 修 改 管理 员 权 限 ? 


1.3 志 审 计 与 分 析 系 统 登录 限制 实验 


【实验 目的 了 


通过 对 日 志 审计 与 分 析 系 统 的 设置 ,实现 通过 限制 TP. 地 址 的 方式 限制 某 些 用 户 登录 
设备 。 


【知识 点 】 
IP 限制 ,IP 允许 .系统 管理 员 。 
ETRE 


公司 的 日 志 审 计 与 分 析 设 备 由 安全 运 维 工程 师 小 李 负 责 , 因 工作 变动 ,小 李 暂 调 
Mn. 近期 内 不 负 贡 日 志 审 计 与 分 析 设 备 的 维护 ,该 设备 改 由 安全 运 维 工程 师 小 王 
负责 。 但 小 季 的 IP 仍 可 以 登录 系统 ,给 日 志 审 计 与 分 析 系 统 市 来 一 定 的 安全 隐患 。 为 了 
保障 系统 的 安全 ,再 要 暂时 限制 小 李 登 录 日 志 审 计 与 分 析 设 备 。 请 思考 应 如 何 解决 这 个 
问题 。 


【实验 原理 】 


日 志 审 计 与 分 析 系 统 可 根据 登录 系统 的 TP 地 址 ,判断 该 用 户 是 否 在 允许 登录 的 范围 
内 。 用 户 可 以 以 常理 员 号 份 登录 日 志 审 计 与 分 析 系 统 , 并 将 不 符合 要 求 的 用 户 名 和 IP 加 
入 到 茶 止 登录 范围 内 ,从 而 解决 限制 特定 用 户 使 用 特定 IP 地 址 登录 设备 的 问题 。 


【实验 设备 】 
。 安 全 设备 : 日 志 审 计 与 分 析 设备 1 台 。 
【实验 拓扑 】 


日 志 审 计 与 分 析 系 统 登 录 限 制 实 验 拓 扑 图 如 图 1-35 所 示 。 


管理 机 : 10.70.25.22/24 
(以 实际 IP 地 址 为 准 ) 


图 1-35 日 志 审 计 与 分 析 系 统 登 录 限制 实验 拓扑 图 
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【实验 思路 】 


CD 以 管理 员 admin 用 户 的 身份 登录 日 志 审 计 与 分 析 系 统 。 
(2) 创建 一 个 系统 管理 员 用 户 xiaoli。 
(3) 将 系统 管理 员 xiaoli 的 IP 添加 到 禁止 登录 的 列表 中 。 


【实验 步 桑 了 


(1) 在 管理 机 中 打开 浏览 部 ,在 地 址 栏 中 输入 日 志 审 计 与 分 析 产 品 的 IP 地 址 
"https://10. 70. 25. 88" CEA Sc bs IP 地 址 为 准 ), 打 开平 台 登 录 界 面 。 由 于 此 网 址 的 证 书 
未 经 过 认证 ,会 显示 “此 站 点 不 安全 ”, 单 击 “ 详 细 信 息 ” 按 钮 。 

(2) 在 “详细 信息 ”的 下 面 , 单 击 “ 转 到 此 网 页 ”按钮 ,这 样 在 不 关闭 浏览 器 的 情况 下 可 
以 正常 访问 此 网 址 。 

(3) 使 用 管理 员 用 户 名 /密码 “admin/11fw(@2soc#3vpn” 登 录 日 志 审 计 与 分 析 系 统 。 
登录 界面 。 

(4) 登录 后 ,需要 修改 admin 用 户 的 密码 ,本 实验 设 有 修改 密码 的 必要 ,所 以 "原始 密 
15" * 39r a 3 7 nf TAGES S bd A" lliw soc € 3vpn" , Riz" axe" TR IL. 

(5) 登录 后 ,将 日 志 审 计 与 分 析 系 统 的 网 址 加 入 浏览 器 兼容 性 视图 中 ,以 保证 网 站 中 
的 内 容 可 以 正确 显示 , 单 击 训 览 部 的 “设置 ?一 ”兼容 性 视图 设置 ,进入 "兼容 性 视图 设置 ” 
界面 。 

(6) 进入 "兼容 性 视图 设置 ?界面 后 ,在 “添加 此 网 站 (D):?” 下 面 输入 设备 地 址 “10. 70. 
25.88”, 然 后 单 击 “添加 ”按钮 。 

(7) 完成 兼容 性 设置 后 ,关闭 "兼容 性 视图 设置 ?界面 ,进入 日 志 审 计 与 分 析 系 统 界 
面 ,选择 “权限 ?命令 ,进入 “权限 ?模块 ,如 图 1-36 所 示 。 


I$ SecFoxLAS . 
as frm gm Qm bmw Tem 


配置 向 导 


1-36 进入 “权限 ?模块 


(8) 依次 单 击 "权限 ”一 "用户 管理 ,进入 用 户 管 理 界 面 , 单 击 “ 添 加 ”按钮 ,如 图 1-37 
所 示 。 


IS SecFox-LAS 


v 


zm gar Ce D. Dss LER AzA TRAAT 
BM Ò 权限 > 用 户 管理 > 用 户 列表 


P 权限 ECT: 修改 Eme 
7$ IP 登 录 限 制 
À ENSEGUE 
B 权限 设置 


O HP 


1-37 添加 用 户 


(9) 添加 用 户 时 ,首先 编辑 用 户 信 息 ,; 用 户 登 录 名 以 及 真实 姓名 输入 xiaoli, 密 人 码 为 
360testtest ,如 图 1-38 所 示 。 


| 用 户 信息 | | 角色 信息 | 
用 户 登 录 名 * 
用 户 真 实 姓名 * 
登录 密码 * 
确认 密码 * 
电子 邮件 地 址 


x SO 


1-38 ”编辑 用 户 信息 


(100 单 击 “ 角 色 信 息 ”, 为 用 户 选 定 角 色 , 有 三 个 映 份 可 以 选择 :“ 系 统管 理 员 ”安全 
管理 员 ” 和 “审计 管理 员 ”, 本 实验 中 选择 “系统 管理 员 ”, 单 击 “ 确 定 ” 按 钮 ,如 图 1-39 所 示 。 


| 用 户 信息 | | 角色 信息 | 
角色 


与 角色 列表 
BOE ds 
^"LlzgetuAm 
—L lenem 


图 1-39 选择 角色 信息 
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(11) 添加 成 功 后 ,名 为 xiaoli 的 用 户 出 现在 用 户 列 表 中 ,如 图 1-40 所 示 。 


"1579171 A me 


D T T oOo 
C] xiaoli 


图 1-40 ”添加 用 户 成 功 


(12) 单 击 界面 右上 和 角 的 “退出 ”按钮 ,退出 当前 登录 的 admin 用 户 , 如 图 1-41 所 示 。 


图 1-41 退出 当前 用 户 


(13) 登录 刚刚 创建 的 用 户 ,在 浏览 右 地 址 栏 中 输入 日 志 审 计 与 分 析 产 品 的 IP 地 址 
“https://10. 70. 25. 88” CH SE PR IP 地 址 为 准 ), 打 开平 台 登 录 罩 面 , 使 用 用 户 名 /密码 
“xiaoli/360testtest” 登 录 设 备 平台 ,如 图 1-42 所 示 。 


图 1-42 登录 新 用 户 


(14) 登录 成 功 后 ,名 为 xiaoli 的 用 户 出 现在 用 户 列 表 中 ,如 图 1-43 所 示 。 


13) SecFox-LAS | 
= | SUR A xb 
© Bg > 用 户 管理 > 用 户 列表 
"E59 Io E 
O MPERA 
[] xiaoli 


图 1-43 新 用 户 添 加 成 功 


19 


mmm 日 去 审计 与 分 析 实 验 指 于 ”IE 
(15) 单 击 右上 角 的 “退出 ”按钮 ,退出 xiaoli 用 户 的 登录 ,如 图 1-44 所 示 。 


(16) 登录 admin 用 户 ,在 浏览 硕 地 址 栏 中 输入 日 eog»z*-umeo.-! 


志 审 计 与 分 析 产 品 的 IP H dE" https://10. 70. 25. 88" 
(以 实际 IP 地 址 为 准 ) ,打开 平台 登录 界面 ,使 用 用 户 
4 / 4 fi" admin/11fw(22soc # 3vpn" XE oe Veg - £1. 

(17) 登录 admin 用 户 后 ,依次 单 击 “权限 ”>“IP NEMINEM 


登录 限制 ”, 如 图 1-45 所 示 。 


IS SecFox-LAS | 
2 从 = ear Qm amw TEs Ama Hanns 


O 权限 > 用 户 管理 > 用 户 列表 
Jc; 万 修改 Ah Om 
[] APHRA EPESI 
xiaoli 


-Ô SURGE 


图 1-45 进入 权限 模块 
(18) 选择 “添加 ”命令 ,添加 限制 登录 的 IP 地 址 ,如 图 1-46 所 示 。 


O 权限 > IP 登 录 限制 
risa 页 删除 


图 1-46 添加 限制 登录 的 IP 地 址 


(19)“ 用 户 ” 设 置 为 xiaoli, ^ 55 iE IP. 登录 地 址 ”输入 管理 机 IP, 本 实验 中 以 “10. 70. 
25. 22” 为 例 , 单 击 “ 确 定 ” 按 钮 ,如 图 1-47 所 示 。 


中 权限 > IP 登 录 限 制 
SR 修改 O We 


i mi IP 
用 A: 
禁止 IP 登 录 地 址 ; 10.70.25.22 (请 答 入 正 葡 的 IP 地 址 ， 给 入 多 个 
$: 10.70.18.35,10.50.10.0 
L__ ] 3&:10.50.10.0& CARO. 

SIF) 


侈 许 IP 登 录 地 址 ; 


图 1-47 填写 限制 登录 IP 
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【实验 预期 】 


(1) 使 用 管理 员 用 户 admin 创建 的 xiaoli 用 户 在 未 限制 登录 时 可 以 正常 登录 。 
(2) 在 用 户 admin 限制 xiaoli 用 户 的 登录 IP 后 ,登录 失败 。 


【实验 结果 】 
(1) 重新 登录 xiaoli 用 户 ,在 管理 机 中 打开 浏览 器 ,在 地 址 栏 中 输入 日 志 审 计 与 分 析 


产品 的 IP 地 址 “https://10.70.25.88”( 以 实际 IP 地 址 为 准 ) ,打开 平台 登录 界面 。 使 用 
用 户 名 /之 公 “xiaoli/360testtest” 进行 登录 ,如 图 1-48 所 示 。 


图 1-48 用户 登 录 界 面 


(2) 登录 失败 ,如 图 1-49 所 示 。 
(3) 综 上 所 述 , 可 以 通过 日 志 审 计 与 分 析 设 备 对 用 


户 登录 进行 限制 ,满足 预期 要 求 。 


CD 看 要 恢复 xiaoli 用 户 的 登录 权限 ,依次 单 击 “ 权 


[i "—*IP 登录 限制 ,如 图 1-50 所 示 。 isis ups 
(5) 选中 xiaoli 用 户 , 单 击 “ 删 除 ”按钮 , 即 可 正常 登 
录 ,如 图 1-51 所 示 。 图 1-49 ”用户 登录 失败 


IS. SecFox-LAS — 
J 一 一 一 一 
O 权限 > 用 户 管理 > 用 户 列表 
Am Les £s 


[] APERE 用 户 真 实 姓名 


[] xiaoli xiaoli 


图 1-50 取消 IP 登录 限制 
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^ 权限 > IP 登 录 限 制 
ub EE TAE: 


H mp 


[v]  xiaoli 


图 1-51 取消 IP 登录 限制 


【实验 思考 】 


(1) 如 果 要 允许 新 的 IP 登录 日 志 审 计 与 分 析 平 台 , 小 王 应 该 对 平台 进行 怎样 的 
(2) 假设 有 同等 权限 的 系统 管理 员 甲 、 乙 , 甲 能 否 对 乙 的 IP 进行 登录 限制 ? 
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第 2 和 草 
志 采 集 配 和 置 


H kinn i ioni \ 应 用 和 系统 的 日 志 信 息 ， 
确 剑 用 户 能 够 收集 并 审计 所 有 必需 的 日 志 信 息 ,避免 出 现 审计 漏洞 。 同 时 ,该 系统 还 要 尺 
可 能 地 使 用 被 审计 市 点 目 吴 具备 的 志 外 发 协议 ,尽量 不 在 被 审计 市 点 上 安 疙 任何 代理 ， 
保障 被 审计 市 点 的 完整 性 ,使 得 对 被 审计 市 点 的 影 啊 最 小 化 。 

日 志 信 息 的 来 源 有 很 多 ,例如 网 络 设备 、 操 作 系 统 、 应 用 系统 等 。 H RR E i e W E 
对 多 种 多 样 日 志 信 息 源 的 采集 支持 ,获取 诸如 Syslog, Netflow 等 日 志 传 输 协 议 、 网 络 数 
据 监 测 .设备 监控 信息 中 包含 的 各 种 运行 状态 ,通过 事件 归 一 化 和 归并 能 力 , 屏 蔽 各 种 系 
统 、 厂 商 、 产 品 关 键 日 志 的 差异 ,提高 日 志 的 可 读 性 ,满足 审计 要 求 。 

男 外 ,针对 能 够 产生 日 志 ,但 是 无 法 通过 网 络 协议 发 送 给 日 志 采 集 系 统 的 情形 ,可 以 

过 为 用 户 提 供 一 个 软 通用 日 志 采 集 器 (Sensor, 也 称 为 事件 传感器 ) 对 用 户 日 志 进 行 采 
^ VA H RRE e HE Ue H SECRET XE HJ H za CC TE 9X CMS PE IG ORO Ad UHR TE. A 
如 ,针对 Windows 操作 系统 日 志 等 。 

可 见 , 当 前 的 日 志 审 计 与 分 析 系 统 中 的 日 志 已 经 超越 了 传统 日 志 的 概念 ,真正 实现 了 
对 全 网 IT 资源 的 日 志 产 生 、 收 集 、 分 析 和 审计 。 


【实验 目的 】 

学 会 为 不 同 权限 的 管理 人 员 设 置 不 同 的 主页 场景 。 
【知识 点 了 

视图 首页 场景 、. 实 时 监视 

【实验 场景 】 


安全 运 维 工 程 师 小 王 负 责 A 公司 的 日 志 审 计 与 分 析 系 统 的 总 体 维护 工作 。 公 司 的 
测试 人 员 比 较 关 注 数 据 库 的 相关 事件 情况 ,他 们 和 希望 登录 设备 后 可 以 直观 地 看 到 数据 库 
的 事件 情况 。 请 思考 应 如 何 设置 。 


【实验 原理 】 


日 志 审 计 与 分 析 系 统 可 以 为 不 同 的 用 户 角 色 设 置 不 同 的 自 页 场景 ,省 理 员 admin 可 
以 将 用 户 重 点 关注 的 事件 添加 入 站 页 场景 ,使 工作 更 加 方便 。 


【实验 设备 】 

”安全 设备 : 日 志 审计 与 分 析 设 备 1 台 。 

【实验 拓扑 了】 

日 志 审计 与 分 析 系统 首页 场景 演示 实验 拓扑 图 如 图 2-1 所 示 。 


管理 机 : 10.70.25.22/24 
(以 实际 IP 地 址 为 准 ) 


图 2-1 日 志 审 计 与 分 析 系 统 首 页 场景 演示 实验 拓扑 图 


【实验 思路 】 


(OD 以 管理 员 admin 用 户 的 号 份 登录 日 志 审 计 与 分 析 系 统 。 
(2) 依次 单 击 " 视 图 ”一 日志 审 计 ” ,添加 测试 人 员 有 角色。 
(3) 为 测试 人 员 设 置 天 于 数据 库 的 自 页 场景 。 


【实验 步骤 】 


(1) Æ PE BL "P TT 2T 30] P, d. E HU HET UP UA H CHE TE S3 2r Prod Hy IP 地 址 
"https;//10. 70. 25. 88" CAZER IP 地 址 为 准 ) ,打开 平台 登录 界面 。 由 于 此 网 址 的 证 书 
未 经 过 认证 ,会 显示 "此 站 点 不 安全 ”, 单 击 “ 详 细 信 息 ” 按 钮 。 

(2) 在 “详细 信息 ”的 下 面 , 单 击 “ 转 到 此 网 页 ”按钮 ,这 样 在 不 关闭 浏览 右 的 情况 下 可 
以 正 第 访问 此 网 址 。 

(3) HIE JU 3 HIP A/Z T "admin/!1fw(22soc € 3vpn” 登 录 日 志 审 计 与 分 析 系 统 。 

(4) 登录 后 ,需要 修改 admin 用 户 的 密码 ,本 实验 没有 修改 密码 的 必要 ,所 以 “原始 密 
人 码 ”“ 新 密码 ”确认 新 密码 ”都 输入 “11fw@2soc#3vpn”, 单 击 “ 确 定 ” 按 钮 。 

(5) 登录 后 ,将 日 志 审 计 与 分 析 系 统 的 网 址 加 入 浏览 闫 茹 容 性 视图 中 ,以 保证 网 站 中 
的 内 容 可 以 正确 显示 ERE AL aEHJ DB — dE EU EE BGEAU"3ETTEDLE RT 
Fr n. 

(6) HEA GREA TE TL ES] E E" A rh Je se SURE Pd i CDO 17. P rn f AC LE" 10. 70. 
29. 88" , ZR Ja Rad S IL Tc 

(7) 完成 兼容 性 设置 后 ,关闭 “兼容 性 视图 设置 ?界面 ,进入 日 志 审 计 与 分 析 系 统 界 
面 , 单 击 “ 主 页 ”一 “日志 审计 ”, 如 图 2-2 所 示 。 
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IS SecFox-LAS 


| 


日 志 采 集 说 明 


添加 监视 场景 添加 查询 场景 


2-2 日志 审计 与 分 析 系 统 界面 
(8) 选择 “添加 ”命令 ,进行 首页 场景 添加 ,如 图 2-3 所 示 。 


(zn gar 所 事件 aau Tas CER Raa 加 | 系统 日 志 
®© 主页 日 志 审计 》 视 图 列表 
EIE TS me 
门 £m 
O 运 维 人 员 


[] 管理 员 
[] 主管 


2-3 ”添加 测试 人 员 的 首页 场景 


(9) 进入 添加 场景 界面 ,如 图 2-4 所 示 。 


2-4 添加 场景 界面 
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日 志 审 计 与 分 析 实 验 指导 


(100 在 "名称 "处 输入 "测试 人 员 ” ,选择 “两 列 布 局 ” ,在 “添加 部 件 " 部 分 中 选择 “实时 


2-5 首页 场景 设置 


(11) 可 以 在 “视图 列表 ”中 看 到 刚刚 添加 的 “测试 人 员 ”, 如 图 2-6 所 示 。 


2017-10-14 20:40:32 


2-6 添加 成 功 


【实验 预期 
在 “测试 人 员 ” 的 首页 场景 中 显示 所 关注 的 数据 库 事件 。 
【实验 结果 】 


(1) 选择 “主页 ”命令 , 单 击 “日 志 审 计 ” 中 的 “测试 人 员 ”, 如 图 2-7 所 示 。 

(2) 查看 首页 场景 ,已 经 包含 所 关注 的 数据 库 事件 ,如 图 2-8 所 示 。 

(3) £& E BrB ,日 志 审 计 与 分 析 系 统 可 以 为 不 同 的 角色 设置 不 同 的 首页 场 巡 ,方便 工 
作 , 解 决 实 验 场景 中 的 问题 。 

【实验 思考 】 


(1) 如 条 有 其 他 工作 小 组 (如 日 志 分 析 小 组 ) 使 用 平台 ,小 王 应 该 如 何 设置 首页 场景 ? 
(2) 如 条 要 修改 “测试 人 员 ?” 的 让 页 场景 ,小 王 应 该 对 平台 进行 怎样 的 幸 整 ? 
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视图 
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B 


添加 监视 场景 


2-7 查看 首页 场景 


euugzuasaüündsls 


2-8 添加 首页 场景 成 功 


3 日 志 审计 与 分 析 系 统 采集 与 转发 参数 设 
置 实验 


【实验 目的 了】 

采集 参数 是 服务 器 采集 日 志 的 配置 参数 ,转发 参数 是 将 本 服务 器 上 的 日 志 转 发 到 其 
他 服务 器 的 配置 参数 ,本 实验 实现 对 日 志 审计 与 分 析 系 统 的 采集 参数 以 及 转发 参数 的 
配置 。 

【知识 点 】 
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A 公司 的 日 记 审 计 与 分 析 设 备 由 安全 运 维 工程 师 小 王 贷 责 。 由 于 公司 设备 太 多 ,日 
志 审 计 寺 分 析 系 统 收集 以 及 转发 的 日 志 内 容 过 于 庞大 ,小 王 布 望 能 够 根据 需要 对 采集 和 
转发 的 日 志文 件 进 行 筛选 ,例如 实现 对 Windows 服务 髓 的 日 志 采 集 与 转发 。 请 思考 应 如 
何 解 决 这 个 问题 。 


【实验 原理 】 


为 了 方便 用 户 使 用 SNMP Trap 接收 功能 ,日 志 审 计 与 分 析 系 统 提供 了 必要 的 参数 
配置 环境 ,采集 参数 是 服务 强 采集 日 志 的 配置 参数 ,转发 参数 是 将 本 服务 兹 上 的 日 志 转 发 
到 其 他 服务 硕 的 配置 参数 。 用 户 可 以 进入 "系统 "一 “采集 参数 设置 "界面 ,根据 需要 进行 
参数 配置 


【实验 设备 】 
。 安 全 设备 : 日 志 审计 与 分 析 设备 1 台 。 
【实验 拓扑 】 


日 志 审 计 与 分 析 系 统 采 集 与 转发 参数 设置 实验 拓扑 图 如 图 2-9 所 示 。 


GE1: 10.70.23.88 


管理 机 : 10.70.25.22/24 
(以 实际 IP 地 址 为 准 ) 


图 2-9 日 志 审 计 与 分 析 系 统 采 集 与 转发 参数 设置 实验 拓扑 图 


【实验 思路 】 


(OD 以 管理 员 admin 用 户 的 号 份 登录 日 志 审 计 与 分 析 系 统 。 
(2) 依次 单 击 "系统 "一 “及 集 参 数 设置 ,设置 参数 。 
(3) 完成 配置 参数 后 , 单 击 保存” 按钮 。 


【实验 步骤 】 


(1) 在 管理 机 中 打开 浏览 部 ,在 地 址 栏 中 输入 日 志 审 计 与 分 析 产 品 的 IP 地 址 
*https://10. 70. 25.88”( 以 实际 IP 地 址 为 准 ), 打 开平 台 登 录 界 面 。 由 于 此 网 址 的 证 书 

未 经 过 认证 ,会 显示 “此 站 点 不 安全 ”, 单 击 “ 详 细 信 息 ” 按 钮 。 

(2) 在 “详细 信息 ”的 下 面 , 单 击 “ 转 到 此 网 页 ?按钮 ,这样 在 不 关闭 浏览 大 的 情况 下 可 
以 正常 访问 此 网 址 。 

(3) fi HS E 3 FH P 25 / 45 f "admin/'!1fw(22soczt 3vpn” 登 录 日 志 审 计 与 分 析 系 统 。 

(4) 登录 后 ,需要 修改 admin 用 户 的 密码 ,本 实验 没有 修改 密码 的 必要 ,所 以 “原始 密 
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码 ””“ 新 密码 “确认 新 密码 ”都 输入 “11fw@2soc#3vpn”, 单 击 “ 确 定 ” 按 钮 。 

(5) 登录 后 ,将 日 志 审 计 与 分 析 系 统 的 网 址 加 入 到 浏览 器 菩 容 性 视图 中 ,以 保证 网 站 
中 的 内 容 可 以 正确 显示 , 单 击 浏览 器 的 “设置 ”>“ 菩 容 性 视图 设置 ”, 进 入 “兼容 性 视图 设 
置 ”" 界 面 。 

(6) 进入 “兼容 性 视图 设置 界面 后 ,在 "添加 此 网 站 > 下面 和 输入 设备 地 址 “10. 70. 25. 
88”, 然 后 单 击 “添加 ”按钮 。 

(7) 完成 兼容 性 设置 后 ,关闭 "兼容 性 视图 设置 ?界面 ,进入 日 志 审 计 与 分 析 系 统 界 
面 , 单 击 系统”, 进 入 “系统 ”模块 ,如 图 2-10 所 示 。 


IS SecFox-LAS 
c (xm gar (mee hau Mes 2an xn 


C Cm OC 
c3 视图 
日 -向 日 志 审 计 


加 


添加 监视 场景 


添加 启用 告警 规则 


图 2-10 进入 系统 模块 


(8) 依次 单 击 “系统 配置 "一 "采集 参数 设置 ” ,设置 数据 备份 的 相关 参数 ,如 图 2-11 
所 示 。 


图 2-11 参数 配置 
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(9) 单 击 “采集 参数 设置 "后 ,可 以 看 到 “采集 参数 设置 "界面 ,如 图 2-12 所 示 ， 


DE DE 


采集 参数 设 首 
FREN 


[m 
geritur: 
TeHRIESRIRES 


ESA 


i YanESSB. — eM 


图 2-12 参数 设置 界面 


(10) 本 实验 中 ,主要 实现 对 Windows 服务 磊 的 日 志 采 集 与 转发 。 其 中 ,采集 参数 对 
应 的 是 日 志 审 计 与 分 析 系 统 的 日 志 采 集 功 能 ,在 采集 时 对 日 志文 件 进行 站 选 。 本 实验 中 
PREIE AN Windows IRA ar. Air REUE a A W Ay E” FE E a K 2-13 
所 示 。 


pu 
采集 参数 
mH 
RETES Pates [rs bE 
是 否 存储 数据 | 
存 情 压 缩 加 密 


图 2-13 选择 采集 过 滤器 


(11) 在 采集 过 滤 硕 中 依次 单 击 “ 审 计 设 备 ” 一 ” 服 
4 a 5b LE" " Windows 服务 器 ”, 如 图 2-14 所 示 。 
(12) 日 志 审 计 与 分 析 系 统 具 有 日 志 转 发 功能 ,可 


以 将 接收 到 的 日 志文 件 转发 到 指定 服务 器 中 。 若 需 | n 
要 转发 Windows 服务 器 的 日 志 ,“ 转 发 到 哪个 服务 | solaris 
im^ dw ARS 2s IP 地 址 , 单 击 “ 转 发 过 滤 疾 ” 右 侧 的 s \ ~D HPUX 


* VE JE" Tiz £l ,如 图 2-15 所 示 . ER. — 服务 器 一 
(13) 在 转发 过 滤器 中 依次 单 击 “审计 设备 ”>“ 服 人生 和 Windows BORSE 
务 冀 事件 ”>“Windows lits 28" . n] 2-16 所 示 。 


ERA 
ERRIRE 
dj e SIBI RSS 2s 


转发 到 服务 器 的 端口 14 O 
转发 过 滤器 x 无 过 二 器 
转发 压缩 加 密 

字符 编码 gb2312 — | — 11 — — | 


图 2-15 配置 转发 参数 
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站 AIX 服 务 器 
"LJ Solaris 事 件 
“器 服务 器 事件 
"L) HPUXERÉE 
"p Linux 服务 器 


图 2-16 ”选择 转发 过 滤器 


(14) 确定 采集 及 转发 参数 后 , 单 击 “保存 ?按钮 ,如 图 2-17 所 示 。 


[zeeman | 
Mem 
eL 5 CEgRDESEES Emm SRRA SAE) 
SEHEN Winda j 无 过 ; GERITGISSeEHUBEEE: WAA Uu 
uiti 
FE EIE 


RASH 
TESS 
acen ailea (se HERR Aee 
Temps SER 5 | HROBE. HARARE SAE) 
Eee indo 1 Td: (p TEESEEERIEEIEIEIS ER FRETE.: E 
eis CES TEE 
THA 


图 2-17 保存 参数 配置 


【实验 预期 】 
保存 “采集 参数 设置 ?成功 。 
【实验 结果 】 


本 实验 此 前 设置 的 完全 相同 。 说 明 采 集 参 数 设 置 成 功 ,如 图 2-18 Brzn . 


【实验 思考 】 
(1) 如 何 对 参数 中 的 过 滤器 进行 设置 ? 
(2) 字符 编码 中 的 gb2312 是 何 含义 ? 
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图 2-18 保存 参数 配置 成 功 


23 日 志 审 计 与 分 析 系 统 事件 归档 设置 实验 


【实验 目的 】 

日 志 审 计 与 分 析 系 统 会 将 系统 的 运行 日 志 进行 备份 ,以 防 系统 日 志文 件 丢失 而 造成 
意外 损失 。 管 理 员 通过 日 志 审计 与 分 析 系 统 的 事件 归档 设置 ,设置 数据 备份 归档 参数 ,本 
实验 设置 数据 库 的 存储 时 间 、 存 储 目录 、 备 份 时 间 等 参数 ,并 通过 数据 备份 归档 表 进 行 数 
据 的 备份 与 恢复 。 

[4n ii rJ 

事件 归档 数据 备份 .数据 恢复 。 

[3:99 255] 


A 公司 的 日 志 审 计 与 分 析 设 备 由 安全 运 维 工程 师 小 王 负 责 。 随 着 日 志 审 计 与 分 析 
设备 内 部 资产 数量 的 不 断 增 多 ,设备 接收 的 日 志文 件数 量 也 不 断 增 大 ,为 了 便于 对 数据 的 
自动 维护 ,A 公司 张 经 理 要 求 小 王 对 日 志 审 计 与 分 析 系 统 的 数据 做 好 定时 备份 ,必要 时 
可 对 备份 文件 进行 恢复 。 请 思考 应 如 何 解决 这 个 问题 。 


【实验 原理 】 


日 志 审 计 与 分 析 系 统 为 方便 用 户 使 用 数据 目 动 维护 功能 ,提供 了 必要 的 参数 设置 环 
Wd 系统 配置 ”中 的 “数据 备份 归档 ”界面 ,根据 需要 进行 参数 配置 。 


【实验 设备 】 
。 安 全 设备 ; 日 志 审计 与 分 析 设 备 1 台 。 
【实验 拓扑 】 


日 志 审 计 与 分 析 系统 事件 归档 设置 实验 拓扑 图 如 图 2-19 所 示 。 
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GE2: 172.16.8.60 | 


BNL: 10.70.25.22/24 WXP 虚 拟 机 : 172.16.8.100/24 
(以 实际 IP 地 址 为 准 ) 


图 2-19 日 志 审 计 与 分 析 系 统 事 件 归档 设置 实验 拓扑 图 


【实验 思路 】 


COD 以 管理 员 admin 用 户 的 号 份 登录 日 志 审 计 与 分 析 系 统 。 

(2) 依次 单 击 “系统 设置 ”一 “数据 归档 设置 >, 设 置 日 志和 备份 目录 .时 间 间 隔 等 参数 。 
(3) 查看 已 备份 的 日 志文 件 。 

(4) 尝试 手动 恢复 备份 文件 。 

【实验 步骤 了 】 


(1) 在 管理 机 端 单 击 Xshell 图 标 ,打开 Xshell, 如 图 2-20 所 示 。 


图 2-20 打开 Xshell 


(2) 在 会 话 框 中 单 击 “ 新 建 ” 按 钮 ,创建 新 的 会 话 。 

(3) 在 “主机 ” 栏 中 输入 日 志和 审计 与 分 析 系 统 GEI 接口 的 IP 地 址 10. 70. 25. 88”( 以 
实际 IP. 地 址 为 准 ) ,其 他 设置 保持 不 变 , 单 击 “ 确 定 ” 按 钮 。 

CA) 新 建 的 会 话 会 在 “所 有 会 话 ” 中 显示 ,选中 “新 建 会 话 ”, 单 击 “ 连 接 ” 按 钮 。 

(5) 单 击 “ 一 次 性 接受 ”按钮 。 

(6) 在 “请 输入 登录 的 用 户 名 ”一 栏 中 输入 用 户 名 admin. dr" axe" TEL. 

(7) 在 “密码 ” 栏 中 输入 密码 “@1fw#2soc$ 3vpn”, 单 击 “ 确 定 ” 按 钮 。 

(8) 成 功 登 录 日 志 审 计 与 分 析 系 统 后 台 , 如 图 2-21 所 示 。 

(9) 输入 命令 “secfox -e ethl -p 172. 16. 8. 60 -m 255. 255. 255. 0”, 设 置 日 志 审 计 与 
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Connecting to 10.70.25.88:22.. 


Connection established. 
To escape to local shell, press 'Ctrl«Alt«]'. 


Last login: Mon Jan 15 11:03:42 2018 
[admingSecFox LAS -]$ 国 


2-21 登录 系统 后 台 


分 析 系 统 GE2 接口 的 IP 地 址 。 其 中 ,“172. 16. 8. 60” 是 GE2 口 的 IP 地 址 ,“255. 255. 
255.0” 是 GE2 口 的 子 网 掩 人 码 。 按 Enter 键 , 出 现 “modify ip ...”; 说 明 接 口 信息 配置 成 功 ， 
如 图 2-24 所 示 。 


[admingSecFox LAS -]$ secfox 


modify ip... 
[admingSecFox LA 


2-22 配置 IP 地 址 


(10) 打开 浏览 器 ,在 地 址 栏 中 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “https://10. 70. 
25. 88”( 以 实际 IP 地 址 为 准 ) , 单 击 “继续 浏览 此 网 站 ”, 打 开平 台 登 录 界 面 。 

(OD 输入 管理 员 用 户 名 /密码 “admin/y1lfw@2soc 井 3vpn”, 单 击 “ 登 录 ” 按 钮 ,登录 日 
志 审 计 与 分 析 系 统 。 

(12) 系统 设置 的 密码 有 效 期 为 7 天 , 当 登 录 系 统 后 收 到 更 改 密码 提示 时 , 单 击 “ 确 
定 ” 按 钮 ,更改 系 统 密码 。 

(13) 在 "原始 密码 ”一 栏 输入 原始 Bit a 。 在 “新 密码 ”一 栏 输入 
“11lfw(@2soc# 3vpn"., 5 JE lp 2 m JH JH]. TE “m AGES 3^ — $559 A "1 1fw (9 2s0c € 
3vpn" , AE" Wü E” Tz Hl. 

(14) 单 击 浏览 器 中 的 “工具 ”一 “兼容 性 视图 设置 ”。 

(150 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “https://10.70.25. 88”, 单 击 “ 添 加 ”按钮 ， 
is JI P9 s Ae e PE LAT . 

(160 单 击 “关闭 ”按钮 ,退出 设置 。 

(17) 进入 日 志 审 计 与 分 析 系 统 后 , 单 击 “系统 ”>“ 系 统 维 护 ”, 可 看 到 系统 IP 地址 配 
置 1” 为 “172. 16. 8. 60”, 如 图 2-23 所 示 。 

,SecFox-LAS 
公主 页 Far Qar ban Cer 总 权 卫 六 系统 | | 
EXC H 系统 > 系统 维护 


em 系统 维护 

3. 服务 器 配置 Sm: ISecFox-LAS 6.6.2.0 

T OSESESE IPA BRE 1: 
Menem sill | [172.16.8.60 

Ú 安 此 Windows 日 志 传感器 下 地 址 本 着 0 10.70.25 88 

E TRAA DNS 服务 器 配置 — 区 02 106.020 

[ER SP 
&S GoogleEarth 配 置 当前 注册 许可: t FE ae 


p IER 4 抓 包 管理 : 


Ba E F' 
-3 工具 与 括 | ATE ”ICMP 管 理 : 
T SiEBÓTER 


路 由 管理 : 
2-23 ”日志 审计 与 分 析 系 统 IP 地 址 
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(18) 将 管理 机 时 间 与 日 志 审 计 与 分 析 系 统 时 间 统一 。 在 日 志 审 计 与 分 析 系 统 中 , 单 
击 “ 系 统 ”>“ 系 统 维护 ”, 选 中 “时 间 校 对 设置 ” 框 中 的 “手动 校 时 ” 单 选 按 钮 ,如 图 2-24 
Bm. 


局 SECFOX-LAS 一 一 一 一 一 
be 全 主页 Eb Como bhan TEk Er ESTE 
t RR > 系统 维护 
igiEde 


IPARA 1: 4172.15 8 60 | 
IPO: [10.70.25 88 


(g SeEEWindowsHENSER — DNSIRSTSEXEE: 
DE: "e 
5 当前 注册 许可 : XH 
(B x«emuue E 
i GoogleEarthl ll Mata: ini 

- 7 Den Je- 性 


ICMP 管 理 : EH ES 
SENS: 
EAE FARA 
172.16.8.0 : 255.255.255.0 


10.70.0.0 E 255.255.0.0 
169.254.0.0 j 253.255.0.0 
default 10.70.10.252 D.0.0.0 


WE URSS D107214544 | 


BER 三 一 天- 
"HH [0 


图 2-24 选择 手动 校 时 
(19) 单 击 “时间 ?” 一 栏 的 钟表 图 案 , 如 图 2-25 所 示 。 


mS SecFox-LAS 一 
公主 页 Sar COMO ban Taa CORA R| 可 | 系统 日 志 
£i O GE pie 
m gágstin | 
y ESKE IP 好 址 配置 1: 172 16 8 60 
-D 有 要 参数 设置 | 
mp PAREER iP 地址 配置 0: 10.70.25.60 
Q ee WindowsE (sa DNSRSSES: 202 106.0.20 
-最 ERRA m z 
= SMERE]: 
Ep smesim E BENE 
i GoogleEarth ficii 抓 包 管 理 : 
-Pl Eee | 
| went. 


路 由 管理 : 


目的 同比 | FARA 


172.165.8.0 si 255.255.255.Ü 


10. 70.0.0 - 255.253.0.0 
169.254.0.0 = 255.255.0.0 
default 10.70.10.252 0.0.0.0 
HAREA 
9 时 间 服 务 器 配置 。 MARSE 210.721454 | 
同步 周期 p | 天 * 


^ 手动 核 时 时 
图 2-25 单 击 钟表 图 案 


(20) 选择 与 管理 机 统一 的 时 间 ,如 图 2-26 所 示 。 
(21) 单 击 屏 闫 空 昌 处 ,退出 设置 ,结果 如 图 2-27 所 示 。 


3b 


EGG 日 去 审计 与 分 析 实 验 指 性 ”IEEEESSSSSSSSES 


服务 器 时 间 : 2018 年 04 月 10 日 12:00:52 ”当前 用 户 : admin Ww Fdo 
Internet | 保护 模式 禁用 O HR or IIS 7 


oO Ra 
2018/4/10 


图 2-26 ”修改 时 间 


时 间 校 对 设置 
O 时 间 服 务 器 配 时 间 服 务 10 73 
i-i 8 | 


aL RS 


© 手动 核 时 时 间 2018-04-10 12:01:00 


系统 操作 


图 2-27 修改 后 时 间 


(22) 单 击 “ 修 改 时 间 ” 按 钮 ,完成 日 志 审 计 与 分 析 系 统 时 间 的 手动 修改 ,如 图 2-28 
Biz. 


时 间 校 对 设置 
O 时 间 服 务 器 配 dem : 


u NH 


P E———dls - 


© 手动 校 时 时 间 2018-04-10 12:01:00 


系统 操作 


图 2-28 单 击 修改 时 间 


(23) 修改 成 功 后 ,系统 会 跳 转 至 登录 界面 ,重新 输入 用 户 名 /密码 “admin/11fw@ 
2soc 井 3vpn”, 登 录 日 志 审 计 与 分 析 系 统 。 

(24) 重新 登录 后 ,查看 系统 界面 右 下 方 的 时 间 ,与 管理 机 时 间 相 同 ,如 图 2-29 所 示 。 

(25) 选择 “系统 ”命令 ,进入 系统 模块 ,如 图 2-30 所 示 。 
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IS. SecFox-LAS 


— 


s - 
E 
hu E T 


添加 启用 告警 规则 


2-30 “系统 "模块 


(26) 依次 单 击 “ 系 统 配置 ”~* 事 件 备份 归档 ”, 设 置 数据 备份 的 相关 参数 ,如 图 2-31 
所 示 。 

(27) 单 击 “ 事 件 备份 归档 ”后 ,进入 参数 配置 界面 ,在 “基本 配置 "页 面 ,可 设置 “日 志 
自动 备份 时 间 间 隔日 志保 存 最 长 时 间 ” 日 志 备份 保存 最 大 时 间 ”“ 日 志 数 据 大 小 告警 立 
值 ”。 本 实验 中 的 参数 设置 保持 默认 值 即 可 ,如 图 2-32 所 示 。 

(28) 登录 实验 平台 ,打开 虚拟 机 WXPSP3, 对 应 实验 拓扑 中 的 右 侧 设备 ,如 图 2-33 
所 示 。 

(29) 进入 虚拟 机 后 ,为 保证 日 志 审计 与 分 析 系 统 收 到 的 日 志文 件 时 间 与 虚拟 机 时 间 


3/ 


m 日 去 审计 与 分 析 实 验 指 性 ”EGG 


PP 


S SecFox-LAS 


(xm gm (e DUM Cmm COUR FEE 
- O FRO FPH 
ER. LJJSJELI. 18— 

| : o 日 志 自 动 备份 时 间 间隔 * 

[EE 日 志保 存 最 长 时 间 


eooo i 
MEN 
mmm EESE — HBRÜRTEXH: 


nA ERRA 

A E Fidi] is RR 

“人 GoogleEarth 当 超 过 存储 空间 85% 时 ， 是 否 自动 删除 已 过 戎 备份 数据 或 数据 表 ? 
是 否 将 事件 自动 备份 到 渤 程 FTP 服 务 器 9 Os €x 

TE 


份 后 的 事件 上 薛 到 运程 fi 服务 器 上 


根据 上 面 配置 的 事件 自动 备份 时 间 间隔 ， 将 自 


图 2-31 “事件 备份 归档 ?设置 


| 基本 配置 | | 备份 月 档 数 据 表 | | 配置 操作 | 
日 志 自动 备份 时 间 间隔 * 
日 志保 存 最 长 时 间 * 
日 志 备份 保存 最 大 时 间 * 
日 志 数据 大 小 告警 凋 值 * 8 O 
当 超过 存 坑 空 间 85% 时 ， 是 否 自动 量 除 已 过 期 备份 数据 或 数据 表 ? ($m OR 
是 否 将 事件 自动 备份 到 远程 FTP 服 务 器 ? Os ex 
| 将 自动 将 备份 后 的 事件 上 传 到 远程 fp 服务 器 上 


图 2-32 数据 备份 基本 配置 


: 10.70.25.88 GE2: 172.16.8.60 


管理 机 ，10.70.25.22/24 


os MEE XPSP3 虎 所 机 : 172.16.8.100/2 
(以 实际 IP 地 址 为 准 ) WXPSP3 庶 所 机 : 172.16.8.100 


图 2-33 打开 虚拟 机 


一 致 ,首先 查看 虚拟 机 的 系统 时 间 与 管理 机 的 系统 时 间 是 否 
一 致 ,如 果 不 一 致 , 则 双击 虚拟 机 界面 右 下 和 角 的 时 间 进 行 调 
整 ,如 图 2-34 FER. 图 2-34 调整 虚拟 机 时 间 
(30) 根据 管理 机 时 间 对 虚拟 机 时 间 进 行 调整 ,然后 单 击 
“确定 ”按钮 ,如 图 2-35 所 示 。 
(31) 进入 虚拟 机 果 面 ,打开 有 困 面 的 “实验 工具 ”, 如 图 2-36 所 示 。 
(32) 单 击 文件 夹 UDPSender, 如 图 2-37 所 示 。 
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时 间 (D) 


日 期 M) 


m 


12 13 14 
19 20 21 
eb 2T 28 


图 2-35 ”调整 虚拟 机 时 间 


ia -5 
LE 
HAIE Re 


B -= À R z 


Mozilla 
Firefox 


2o E "WP 
SES | i CE I9 
| —— i p 
in oHG —ÀQ 4 mM ni na i — 


—Á 


- Siran 


Er 
- 


图 2-36 打开 日 志 发 送 工具 


= LA 
TFD RBD EF v) 


Q7- O- X s Dmx m- 


HEHE QD | 辐 C:\Documents and Sattingskdainistratorv 点 面 \ 实 验 工 具 


UE GO TEC B0 


3rPERISCPERCEER 

C) OBRAR 

"Fa 
总 

gj 共享 此 文件 到 


图 2-37 打开 日 志 发 送 工 具 


日 志 采 集 配置 ”me 
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(33) UDPsender 是 模拟 防火 墙 日 志 发 送 的 工具 ,双击 图 标 UDPsender. exe, 打 开 文 
件 夹 中 的 日 志 发 送 工 具 , 如 图 2-38 所 示 。 


Š UDPSender 
TFE S0 ESV PRW IAT) #0) 


Qr- O- X pr pwr m 
| AHE (HJ | C:\Documents and SettingshAdministrator RB Sed T RAAUDPSender 


xemxexes E C) cama a 2: ke ptt 
| , MFCDLL Shared La... 
e 


C9 创建 一 个 新 文件 来 
O 将 这 个 文件 夷 发 布 到 , ) MSYCPT1. DLL oh ) nsverTl. dll ^ SampleLog. xml 
Web | p 7.10.3077. 0 | 7.10. 5030. 0 "| XML Xf 


= Hair Microsoft&€ [Tt R... Microzoft* L Run. — 5 RB 


3 TestSerialConf. xml 
a» XML Xr 


1 KB 


图 2-38 打开 日 志 发 送 工具 
(34) 配置 日 志 发 送 的 相关 信息 “协议 ”选中 Syslog 单 选 按钮 方式? 选中 * 按 速度 
发 送 ” 单 选 按钮 “速度 ”输入 5, 然 后 单 击 “初始 化 通信 ?按钮 ,如 图 2-39 所 示 。 


UDPSender 


p I MM LZ [发送 控制 一 — 


Ax. 0 meum [8 MarR 
消息 设置 | 


HER DETSE | 选择 日 志 衬 本 [prx -| 清空 | 


C 按 顺 序 读 个 随机 读 


WPIX-T-T10005: UDP request discarded from 192.168.24.181/137 to 
inside:192.1868. 24. 255/netbios-ns 


* | 目标 IP 地 址 — | 目标 端口 | 


172. 16. 6. 50 


图 2-39 ”初始 化 通信 
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(35)“ 消 息 来 源 " 设 置 为 "从 文件 ”, 单 击 ”…… 授 钮 ,选择 目标 日 志文 件 ,如 图 2-40 
所 示 。 


^ UDPSender 


AYERS E 发 送 控制 


HR: Syslog (^ SHP SERIUNGE TT 
方式 : 个 按 次 数 发 送 0 按 速 度 发 送 _ 初 化 通信 | EL: 2 
[ E 条 /各 退出 通信 | 停 上 | 
Ls 选择 日 志 样本 [FI | 


L] 
te BIFE C BEHDE 


2 165.24. 181/13T to 


172. 16. 8. 60 514 


图 2-40 ”消息 设置 
(36) 单 击 “ 查 找 范 围 ? 中 的 “ 昌 面 ”, 进 和 人“ 实验 工具 ”目录 , 单 击 UDPSender 文件 夹 ， 
如 图 2-41 所 示 。 


查找 范围 EIE 


文件 名 mi: |] 了 | 
A EAE T): [Log Files (*.log) "| 职 消 | 


图 2-41 查找 日 志文 件 
(37) 进入 logfiles 进行 日 志文 件 选择 ,本 实验 选择 “FW_LOG_DEOM. log”, 再 单 击 


“打开 ”按钮 ,如 图 2-42 所 示 。 
(38) 在 “目标 端 设置 ”中 ,选中 序号 为 0 的 目标 , 单 击 “ 编 辑 ” 按 钮 ,如 图 2-43 所 示 。 
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mm 日 去 审计 与 分 析 实 验 指 -于 IE 


查找 范围 I): [O logfiles | e& et 国 - 


[rM LOG DEOM. lez 


Ar D: [Ft LOG. DEOM. leg Y | 


drep2ed (T): Log Files (*.log) - 


图 2-42 选择 日 志文 件 


|. IDPSender 


-EESNRREEO 0 AN 


协 说 : e Syslog C SMP 初 冶 化 通信 | E | 


方式 : C EYE C METERS 


E an | JEN | ”停止 | 


eid 一 — | 


图 2-43 ”编辑 目标 端 信息 


(39) 将 目的 IP 地 址 设置 为 日 志 服 务 器 的 “IP 地址”, 本 实验 设置 为 “172. 16. 8. 60", 
端口 设置 为 514, 如 图 2-44 所 示 。 


图 2-44 编辑 目的 IP 地 址 
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(40) 完成 设置 后 ,核对 信息 配置 是 否 正确 ,然后 单 击 "发 送 ” 按 钮 ,如 图 2-45 所 示 。 


JYEHRUSE 


方式 : 个 按 次 数 发 送 C 按 速 度 发 送 JN 

EHE 退出 通信 | ”停止 | 
消息 设置 一 一 一 一 —— — — —— 
消息 来 源 | 从 文件 “| ”选择 日 志 样 本 [Fi -| 


|: Documents and Set: tings VAdninistrator mm ALAP: Sandar 


(« 按 顺 序 读 C 随机 读 


图 2-45 发送 日 志 


(41) 完成 日 志 发 送 过 程 后 ,在 管理 机 中 登录 日 志 审 计 与 分 析 系 统 平台 ,依次 单 击 “ 资 
ype"—"Wwrr- Has". un 2-46 所 示 。 


IS SecFox-LAS l 
: 从 主页 多 事件 bhau Cem CORR AXES C XE 


mI 
天 资产 属性 


资产 对 象 
GR Cp CR Ch Ot- Ca Q, idi 
C) ESOS 


-C pea 
-O 服务 器 


图 2-46 进入 资产 日 志 界 面 


(42) 选中 摧 产 地 址 ”172. 16. 8. 100”, 单 击 “ 人 允许 接收 ”和 “局 用 ”按钮 ,以 允许 日 记 利 
【实验 预期 


(1) 手动 备份 数据 成 功 。 
(2) 手动 恢复 数据 成 功 。 


E 日 去 审计 与 分 析 实 验 指 于 o me 


Las i 


O giomtuboWABE4 
sue] sent hs cum arewan 


Brest up Fa E 


LLLI E 
172.15.8.100 2018-04-10 13:25:11 E a | GB * (mt) 
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【实验 结果 】 
OD 依次 单 击 "系统 ”一 "事件 备份 归档 ”一 ”备份 归档 数据 表 ”, 如 几 2-48 所 示 。 
A Eu Cue baw 同 报 才 CoR 


(6 系统 > pHa 


ems | pL 


图 2-48 进入 事件 归档 设置 


(2) 由 于 日 志 审 计 与 分 析 系 统 刚 刚 接收 到 事件 ,在 “ 待 备份 数据 ”中 选中 数据 
20180410 , 单 击 "手动 备份 ”按钮 ,如 图 2-49 所 示 。 


O 系统 > 事件 备份 归档 


| 基本 配置 ”| | 备份 归档 数据 表 |。 配置 操作 | 


Gg ap 
[v]7320180410 


图 2-49 手动 备份 数据 
(3) 界面 下 方 显示 手动 备份 成 功 ,如 图 2-50 Bron 


图 2-50 手动 备份 成 功 


(4) 在 “已 备份 数据 ?中 找到 刚刚 手动 备份 的 数据 20180410 , 单 击 * 手 动 恢 复 ?” 按 钮 ,如 
图 2-51 所 示 。 
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—884 Ww 
[ ]7320180408 
620180409 
[v] 320180410 


图 2-51 手动 恢复 数据 
(5) 选择 “系统 日 志 ” 命 令 , 下 方 显 示 手 动 恢复 成 功 , 如 图 2-52 所 示 。 


图 2-52 手动 恢复 成 功 


(6) 综 上 所 述 , 日 志 审 计 与 分 析 系 统 可 以 对 系统 内 的 事件 进行 备份 归档 ,也 可 根据 需 
要 修改 备份 策略 与 基础 参数 ,解决 实验 场景 中 的 问题 。 


【实验 思考 】 
日 志 数据 大 小 告警 阔 值 有 何 作用 ? 


2.4 日 志 审 计 与 分 析 系 统 设 备 监控 查看 实验 


【实验 目的 】 

查看 日 志 审 计 与 分 析 系 统 的 自身 监控 界面 ,下 载 自身 日 志 , 实 现 对 系统 自身 的 性 能 
【知识 点 】 

CPU 利用 率 、 内 存 利 用 率 、 系 统 日 志 。 

【实验 场景 】 


A 公司 日 志 审 计 与 分 析 设 备 由 安全 运 维 工 程 师 小 王 负 责 。 由 于 该 设备 负责 监控 公 
pn 日 志和 事件 ,所 以 会 VEG EAR ARUM GE S C CPU, 
磁盘 数据库. 内存) 进行 监 控 。 请 思考 应 如 何 监控 。 
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【实验 原理 】 


日 志 审 计 与 分 析 系 统 具 有 日 映 监控 界面 ,此 界面 用 于 显示 日 号 监控 信息 ,通过 图 形 化 
的 方式 显示 日 志 审 计 与 分 析 系 统 的 CPU 利用 率 、 内 存 利用 率 、 人 硬盘 利用 率 、 数 据 库 、 每 秒 
接收 事件 等 信息 。 用 户 可 以 进入 "系统 "中 的 “系统 目 身 监控 "界面 ,根据 需要 进行 相应 


【实验 设备 】 

。 安全 设备 : 日 志 审 计 与 分 析 设 备 1 f. 

【实验 拓扑 】 

日 志 审 计 与 分 析 系 统 设备 监控 查看 实验 拓扑 图 如 图 2-53 所 示 。 


GEI: 10.70.25.88 


管理 机 : 10.70.25.22/24 
(以 实际 IP 地 址 为 准 ) 


图 2-53 ”日 志 审 计 与 分 析 系 统 设备 监控 查看 实验 拓扑 图 


[实验 思路 】 


(D 以 管理 员 admin 用 户 的 身份 登录 日 志 审 计 与 分 析 系 统 。 
(2) 进入 “系统 ”的 “系统 目 号 监控 ”界面 查看 系统 有 自 和 号 性 能 。 
(3) 下 载 系统 上 月 身 日 志文 件 。 


[3:39 7 9] 


(1) TEE SEL P 1TJT 90 V, ss. TE HU BEES UP ACH x HCTE SS 2r Dr; in Hj IP 地 址 
"https; //10. 70. 25. 88" CA Sc bs IP 地 址 为 准 ), 打 开平 台 登 录 界 面 。 由 于 此 网 址 的 证 书 
未 经 过 认证 ,会 显示 “此 站 点 不 安全 ”, 单 击 “ 详 细 信 息 ” 按 钮 。 

(2) 在 “详细 信息 ”的 下 面 , 单 击 “ 转 到 此 网 页 ”按钮 ,这 样 在 不 关闭 浏览 器 的 情况 下 可 
以 正常 访问 此 网 址 。 

(3) 使 用 管理 员 用 户 名 /密码 “admin/11fw(@2soc#3vpn” 登 录 日 志 审 计 与 分 析 系 统 。 

(4) 登录 后 ,需要 修改 admin 用 户 的 密码 ,本 实验 没有 修改 密码 的 必要 ,所 以 “原始 密 
码 ”“ 新 密码 “确认 新 密码 ”都 输入 “11fw@2soc#3vpn”, 单 击 “ 确 定 ” 按 钮 。 

(5) 登录 后 ,将 日 志 审 计 与 分 析 系 统 的 网 址 加 入 浏览 絮 兼 容 性 视图 中 ,以 保证 网 站 中 
的 内 容 可 以 正确 显示 , 单 击 浏览 絮 的 “设置 ”一 “兼容 性 视图 设置 ”, 进 入 “兼容 性 视图 设置 ” 
界面 。 

(6) 进入 “兼容 性 视 岁 设置 ?界面 后 ,在 “添加 此 网 站 ”下 面 输 入 设备 地 址 “10. 70. 25. 
88" ,然后 单 击 “添加 ?按钮 。 
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C) 完成 兼容 性 设置 后 ,关闭 “兼容 性 视图 设置 ?界面 。 登 录 日 志 审 计 与 分 析 系 统 的 
主 界面 ,选择 “系统 ”命令 ,如 图 2-54 所 示 。 


5 SsecFox-LAS 


Dm ge Code bau Umm Gm 局 | 系统 日 志 


ERI Jes FH S SAN 


图 2-54 “系统 "模块 


(8) 依次 单 击 “ 系 统 " 一 “系统 配置 "一 “系统 目 身 监控 ” ,查看 系统 性 能 参数 ,如 图 2-55 
所 示 。 


IS. SecFox-LAS 


A 


4 rmn ga (e 区 规则 Tez CRR xk 
0 系统 > 服务 器 配置 
| 服务 句 配 置 | 

邮件 服务 器 配置 
发 送 协 识 
服务 器 地 直 
NIE 

是 否认 证 
用 户 名 

密码 

确认 密码 

发 送 者 邮件 地 址 


L 邮件 发 送 列 斌 


ARE 
comis L1 s 


O deje aet 


用 户 登 录 和 锁定 策略 配置 
登录 磷 定 时 间 


会 博时 长 配置 
SAHAT] 


是 百 身 用 动态 口令 : 


图 2-55 ”服务 器 配置 
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(9) 单 击 “ 系 统 目 身 监控 ” ,图 形 化 界面 展示 系统 和 目 身 性 能 ,如 图 2-56 所 示 。 


Miata Diii 
l L5:04: 1524.02 15:007 15:24:33 15/404 152405 1504£0B 153407 150£0E 15234358 15610 LS5:04:L1 150412 L5:D3:L3 150414 L5S:0:L5 150415 


2-56 系统 性 能 展示 


(10) 在 “系统 目 身 监控 ?界面 中 ,可 以 看 到 系统 的 CPU 利用 率 、 内 存 利 用 率 、 便 盘存 
储 使 用 情况 ,数据库 使 用 情况 以 及 每 秒 接收 的 事件 等 信息 。 其 中 “CPU 利用 率 ” 的 图 是 
VA H BIS fiii CPU 利用 率 为 纵 轴 的 线 状 图 ,表明 当前 运行 的 程序 对 日 志 系 统 的 CPU 占 
用 情况 。“CPU 利用 率 ” 如 图 2-57 所 示 。 


一 上 FU1 — CPU? — CPU3 — CPU4 


图 2-57 CPU 利用 率 


(11)“ 内 存 利 用 率 ” 图 是 以 日 期 为 横 轴 ,以 内 存 利 用 率 为 纵 轴 的 线 状 图 ,表明 每 天 系 
统 的 内 存 使 用 情况 ,如 图 2-58 所 示 。 


图 2-58 ”内 存 利 用 率 


况 ,如 图 2-59 所 示 。 
(13)“ 数 据 库 ” 图 是 饼 状 图 ,表明 日 志 系 统 中 “数据 库 占用 空间 ”“/data 除数 据 库 外 的 
已 用 空间 ”和 “/ data 的 可 用 空间 ”的 大 小 以 及 使 用 情况 ,如 图 2-60 所 示 。 
(14) 依次 单 击 “ 系 统一 “系统 目 身 监控 "一 “系统 日 志 ”, 进 入 “系统 日 志 ” 界 面 。 在 
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uie 506 100G 1506 20060 250G 3000 350G — 400G 450G —500G 550G — 600G — 6500 ;00G 750C 


1 dev/sda3 

[dev/sda 

ldev/sdas 

ldev/sdal 

tmpfs 

I dev/mapper/vg-data 


图 2-59 磁盘 空间 情况 


[datak £g PF ^ir cemssm-2 3/16 (099 数据 库 吉 用 空间 :1 37 (059 


—]/datairi sm [8:714.107G (10039 | 


图 2-60 ”数据库 


“系统 日 记 ” 界 面 中 ,可 以 查看 系统 日 志 以 及 数据 库 日 志 的 文件 大 小 ,防止 日 记过 多 造成 系 
统 内 存 盗 出 ,对 系统 造成 损害 。 本 实验 中 的 系统 日 志和 数据 库 日 志文 件 大 小 都 很 正 背 o A 
要 进行 具体 分 析 , 可 以 单 击 " 下 载 当 日 日 志 ”, 进 行 下 载 并 对 日 志文 件 进行 分 析 , 如 图 2-61 
所 示 。 


"S SecFox-LAS 
< D+ ga Come 区 规则 mx Dum rx 
€ mc. EASA 


Haee EBR) SHHiEBOEBR) 


1, ERE EFL sho t xm 300M) MAESE 
2,245 e . EIL uRd acid T- zi 


SARASA [et] ETETNTHERIATEEPEI, PARSEINT ip: SEEREN 


2-61 系统 日 志 


【实验 预期 】 


C) 对 比 使 用 一 段 时 间 后 的 系统 CPU AHR. 
(2) 对 比 使 用 一 段 时 间 后 的 系统 内 存 利 用 率 。 


【实验 结果 】 


(OD 使 用 一 段 时 间 后 ,再 次 进入 “系统 ”中 的 “系统 日 刁 监控 ”界面 ,查看 日 志 审 计 与 分 
析 系 统 的 “CPU 利用 率 ”, 发 现 曲线 发 生变 化 ,曲线 较为 曲折 ,变化 剧烈 ,说 明 在 系统 运行 
过 程 中 程序 占用 的 CPU 资源 在 不 停 地 发 生变 化 ,如 图 2-62 所 示 。 
(2) 使 用 一 段 时 间 后 ,再 次 查看 日 志 审 计 与 分 析 系 统 的 "内存 利用 率 ” ,发现 曲线 发 生 
变化 ,曲线 虽然 曲折 ,但 保持 上 升 的 趋势 ,说 明 数 据 传 输 占 用 的 内 存 空 间 越 来 越 多 ,如 
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mm 日志 审 计 与 分 析 实 验 指导 。 


1736 1738 1740 1742 1744 1746 1748 17:50 17:52 17:54 17:56 17:58 18:00 18:02 18:04 1806 1808 18:10 1812 - 


— PUI —CPU?2 CPU3 — CPU4 | 


图 2-62 CPU 利用 率 对 比 


图 2-63 所 示 。 


17:38 17:40 17:42 1744 17:46 17:48 17:50 17:52 17:54 17:56 17:58 18:00 18:02 18:04 18:06 18:08 18:10 1812 18:14 


图 2-63 内存 利用 率 对 比 


(3) 使 用 一 段 时 间 后 ,再 次 查看 日 志 审 计 与 分 析 系 统 的 “磁盘 空间 情况 ”, 发 现 人 磁盘 空 
间 的 柱状 图 基本 没有 改变 ,说明 系 统 的 工作 量 较 小 ,数据 占用 磁盘 的 情 识 基 本 没有 变化 ， 
如 图 2-64 所 示 。 


HERRER 
üG LOOG 1506 2006 250G 3006 3506 A00 4500 500G 550 6006 E506 7000 750 
ldev/sda3 
ldev/sda& 
ldev/sda5 
ldev/sdal 
tmpf: 
I devimapper/vg- data 


muc m 可 用 空间 


图 2-64 ”磁盘 空间 情况 对 比 


(4) 使 用 一 段 时 间 后 ,再 次 查看 日 志 审 计 与 分 析 系 统 的 “数据 库 ”, 发 现 “ 数 据 库 占用 
空间 ”“/data 除数 据 库 外 的 已 用 空间 ”和 “/data 的 可 用 空间 ” 均 发 生 了 微小 的 变化 ,说 明 
在 这 段 时 间 的 运行 中 ,日 志 系 统 只 进行 了 少量 的 数据 存储 ,如 图 2-65 所 示 。 


数据 库 


Jaata E 8:714.123G 0090 


图 2-65 数据库 对 比 
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(5) 下 载 系 统 日 志 后 ,选中 “打开 ,通过 (O)? 单 选 按钮 , 单 击 “确定 ?按钮 ,如 图 2-66 
所 示 。 


正在 打开 %2Fhome%2Fadnin%2Fworkspace%2FSecfoxSer... [X] 


您 选择 了 打开 : 
Æ "T"ecfoxServerW2FwebserverWZ2FtempX2Flogs 20180413.rar 


立 件 类 型 : 好 压 RAR 压缩 文件 
WIS: https://10.70.25.88 


您 想 要 Firefox 如 何 处 理 此 文件 了 
OREB [SFE UO 2 
O RFF E) 


以 后 民用 相同 的 动作 处 建 此 匡 女 件 。 (A) 


[a 
图 2-66 打开 系统 日 志 


(6) 打开 的 系统 日 志 压 贿 包 如 图 2-67 所 示 , 但 这 些 均 为 加 密 文 档 , 夺 需要 打开 日 志 
文件 查看 具体 内 容 , 需 要 管理 员 提 供 相 关 密 码 。 


in&?FworkspaceX2FSecfoxServerW?FwebserverWzFtempE?Flogs 20190413.rar 


解压 到 HES 密码 自 和 解压 工具 箱 中 国 压缩 软 件 知名 品牌 m m 


= ow == X2FhomeW2FadminW2FworkspaceW2FSecfoxServerW?Fwebserve * 当前 目录 查找 (RAATH) Q EU 


x + 名 称 大 小 压缩 后 大 小 ”类 型 安全 
. . EEEF) 
E) catalina 2018-04-10. log * 6.37 XB 1.68 KP 
[E] catalina 2018-04-13. log * T.8T KB 1.38 KP 
(C:) E daemons. status * 1 KÐ 1 ED 
ents and Sett [7] databasecheck log * 14.01 KB 1 KP 
E) loadfileserver.log * 1.78 XB 1 KP 
E] moni tor. Log * 1 KB 1 K 
E) mserver.log * 945.46 KB 33.18 KP X4 
[S mserver.log.! * 1002. T1 KB 6T. 66 KB 1 
[7] netserver.log * 91.52 KB 3.58 KP 
[| sim. log * 15.54 KB 2.37 KB 


rator 的 净 档 


大 小 : 2 WB, ESH : 8. 35% 总 计 10 RHE? WB,2,101,353 FP) 


图 2-67 日 志文 件 


(7) £g E Bros ,日 志 审 计 与 分 析 系 统 的 上 自身 监控 界面 可 以 反映 系统 的 目 身 性 能 ,便于 
管理 员 对 系统 进行 维护 。 


【实验 思考 】 
系统 日 志文 件 过 多 会 造成 什么 后 果 ,应 该 如 何 操作 ? 
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网 络 系 统 中 的 日 志 有 不 同 的 采集 对 象 以 及 不 同 的 采集 方式 ,日 志 形 式 也 多 种 多 样 , 故 
需要 进行 归 一 化 处 理 , 为 其 他 模块 的 计算 分 析 莫 定 基 础 。 


3.1 志 审 计 与 分 析 系 统 资产 录入 实验 


【实验 目的 】 


日 志 审 计 与 分 析 系 统 将 其 他 设备 作为 贤 产 录入 本 系统 ,然后 对 这 些 设备 的 日 志 进 行 
审计 与 分 析 , 本 实验 实现 对 当前 资产 组 的 添加 、 修 改 、 删 际 ,同时 对 资产 组 中 的 资产 进行 
采信 。 


【知识 点 了 
资产 .资产 组 .资产 录入 。 
【实验 场景 】 


公司 的 日 志 审 计 与 分 析 设 备 由 安全 运 维 工 程 师 小 王 负 责 。 由 于 公司 资产 较 多 ,小 
EA, 请 思考 应 如 何 操 作 。 


【实验 原理 】 


日 志 审 计 与 分 析 系 统 的 资产 组 树 可 以 完成 对 当前 资产 组 的 添加 、 修 改 . 删 除 等 操作 - 
同时 还 可 以 对 资产 组 中 已 经 存在 的 资产 进行 统计 和 查看 ,通过 资产 的 名 称 、IP 等 信息 碍 
看 竣 疗 ,统计 帝 产 的 其 他 属性 。 


【实验 设备 】 

。 安全 设备 : 日 志 审 计 与 分 析 设 备 1 f. 

【实验 拓扑 】 

日 志 审 计 与 分 析 系 统 资产 录入 实验 拓扑 图 如 图 3-1 所 示 。 
【实验 思路 】 

(1) 以 管理 员 admin 用 户 的 身份 登录 日 志 审计 与 分 析 系 统 。 


Egg 第 3 章 资产 日 志 管 理 与 设置 S m 


GEI: 10.70.25.88 


管理 机 : 10.70.25.22/24 
(以 实际 IP 地 址 为 准 ) 


图 3-1 日 志 审 计 与 分 析 系 统 资产 录入 实验 拓扑 图 


(2) 创建 新 的 资产 组 “服务 髓 ”。 
(3) 在 资产 组 中 录入 资产 。 
CA) 对 当前 资产 组 中 的 资产 进行 统计 和 查看 。 


【实验 步 桑 】 


(1) 在 管理 机 中 打开 浏览 器 ,在 地 址 栏 中 输入 日 志 审 计 与 分 析 产 品 的 IP 地 址 
“https://10. 70. 25. 88”( 以 实际 IP 地 址 为 准 ), 打 开平 台 登 录 界 面 。 由 于 此 网 址 的 证 书 
未 经 过 认证 ,会 显示 “此 站 点 不 安全 ”, 单 击 “ 详 细 信 息 ” 按 钮 。 

(2) 在 “详细 信息 ”的 下 面 , 单 击 “ 转 到 此 网 页 ”按钮 ,这 样 在 不 关闭 浏览 如 的 情况 下 可 
以 正和 并 访问 此 网 址 。 

(3) 使 用 管理 员 用 户 名 /密码 “admin/11fw(@2soc#3vpn” 登 录 日 志 审 计 与 分 析 系 统 。 

(4) 登录 后 ,需要 修改 admin 用 户 的 密码 ,本 实验 没有 修改 密码 的 必要 ,所 以 “原始 密 
人 码 ”“ 新 密码 ”“ 确 认 新 密码 ”都 输入 “*11fw@2soc#3vpn”, 单 击 “ 确 定 ” 按 钮 。 

(5) 登录 后 ,将 日 志 审 计 与 分 析 系 统 的 网 址 加 入 浏览 器 兼容 性 视图 中 ,以 保证 网 站 中 的 内 
容 可 以 正确 显示 , 单 击 浏 贤 副 的 “设置 ”>“ 菩 容 性 视图 设置 ”, 进 入 “ 菩 容 性 视图 设置 "界面 。 

(6) JE A "dicc TE T PS UE LU S TÉ Jn ,在 “添加 此 网 站 ?下面 输 入 设备 地 址 “192. 168. 1. 
60”, 然 后 单 击 “添加 ”按钮 。 

(7) 完成 兼容 性 设置 后 ,关闭 " 茹 容 性 视图 设置 ?界面 ,进入 日 志 审 计 与 分 析 系 统 界 
面 ,选择 “资产 ”命令 ,进入 资产 模块 ,如 图 3-2 所 示 。 


视图 
Eg Ep Cg Eg rp [EI lj 


图 3-2 进入 资产 模块 
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(8) 首先 进行 资产 分 组 ,创建 新 的 资产 组 ,选中 “资产 对 象 ”, 单 击 “ 添 加 ”按钮 ,如 图 3-3 


所 示 。 

(9) 输入 新 资产 组 名 称 为 “服务 颖 ”, 单 击 “ 确 定 ” 按 钮 ,如 图 3-4 所 示 。 

(10) 同时 也 可 以 对 已 添加 的 资产 组 进行 修改 、 删 除 、 守 入 和 导出 等 操作 ,根据 需要 进 
行 , 本 实验 不 再 演示 ,如 图 3-5 所 示 。 


Elaa a- aaa 


图 3-3 ”添加 资产 组 图 3-4 编辑 资产 组 信息 图 3-5 编辑 资产 组 信息 


(11) 接 下 来 进行 资产 录入 , 单 击 新 创建 的 资产 组 “服务 需 ”, 再 单 击 “添加 ”按钮 ,进行 
资产 添加 ,如 图 3-6 所 示 。 


[ürd 资 产 尾 性 
lir] 资产 日 去 


un Ees ükgee Cem eA $ Si- 


O BRAR EH IP- 
[] windowsRE2ssE 192.168.1.70 
SEPRIR 


Gy Cp Ca CB Ch- Cg OQ dl 


c ESUNE 
D Bos 
OEEZ 


图 3-6 ”添加 资产 


(12) 编辑 资产 信息 ,“ 设 备 名 称 ” 输 入 “Windows 服务 器 ”, “设备 IP” 输 入 “192. 168. 1.70”, 
“ 子 网 掩 码 ” 输 入 “255. 255. 0. 0", * AREE” mA 3. 0; 选 择 “设备 类 型 ”为 “服务 兹 ”， 
“设备 型 号 ?为 Windows。 本 实验 中 给 出 的 设备 耻 . 子 网 掩 码 等 信息 仅 供 参考 ,请 根据 实 
际 情况 填写 , 单 击 “ 确 定 ” 按 钮 ,如 图 3-7 所 示 。 

(13) 完成 添加 后 ,可 以 在 设备 列表 中 看 到 新 录入 的 资产 “Windows 服务 器 ”, 如 图 3-8 
所 示 。 

(14) 若 要 修改 资产 信息 ,选中 资产 地 址 , 单 击 “ 修 改 ” 命 令 ,重新 编辑 资产 信息 。 同 
JE ,也 可 以 进行 删除 .移动 .导入 .导出 等 操作 ,如 图 3-9 所 示 。 


【实验 预期 】 
COD 可 以 看 到 新 添加 的 分 组 “服务 器 ”以 及 新 添加 的 资产 “Windows 服务 器 ”。 
(2) 对 创建 的 资产 * Windows 服务 器 ”通过 名 称 进行 查询 ,并 查看 设备 统计 。 


dows] [C Ex 业务 关键 度 (请 输入 0-5 的 数值 
(€ Ipv4 O IPv6 设 和 型 ”| 服务 器 vv| 
192368170 | 设备 型 号 
(合法 的 子 网 撞 码 地 址 ) 设备 位 置 


-— 5 27 2200 BEA 
ERIRE ) 


服务 器 ~ 
f v 
dah vh y 


图 3-7 编辑 资产 信息 


者 添加 Fes LEGES Bgg XE eo jg eue 


J| RESH BHIP- 
Windovwsdgs:828 192.168.1.70 


图 3-8 资产 组 列表 


Tan [Ce Ree Ber ASA 1- 
设备 名 称 设备 IP* 


Windows 服 务 器 192.168.1.70 


3-9 修改 资产 信息 


【实验 结果 了 


(1) 在 资产 对 象 的 资产 组 树 中 显示 添加 成 功 的 资产 组 服务 兹 ”, 如 图 3-10 所 示 。 

(2) 在 设备 列表 中 可 看 到 新 添加 的 资产 “Windows 服务 器 ”, 如 图 3-11 所 示 。 

(3) 单 击 资 产 组 中 的 “查询 ”, 通 过 名 称 查 找 已 有 资产 “Windows 服务 器 ”, 单 击 “ 确 定 ” 
按钮 ,如 图 3-12 所 示 。 

(4) 成 功 查 到 已 有 资产 “Windows 服务 器 ”, 如 图 3-13 所 示 。 

(5) 管理 员 在 资产 树 中 设备 统计 中 可 以 查看 资产 信息 ,如 图 3-14 所 示 。 
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Lp eNA 
| 时 资产 尾 性 
机 资产 日 志 


Lim E] 

Gy Cm C Dh C = Ex [E 
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Em] Ezg 


-EE 
(2 linux EUM 


api, 


KEETE 
L] Windowstizzd8 ES 


i IP 


182-158.1.70 


资产 对 象 
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cy mee 
a" 防火 墙 
ERIT 


图 3-10 创建 新 资产 组 成 功 


3-11 添加 资产 成 功 


3-12 查询 资产 


3-13 查询 成 功 


dump 
Windows 


Upct RA Od 1-3) 

(oL er fear 0-25577 [ge ) 
EAFA EHE EHH 

GLE SH T 10 BS) 


c8 ^ U- SEPT RE) 


idum 
Windows 


iare pa 
北京 市 ;北京 市 
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ETEEOE ME 


RS 设备” 工作 站 Fetë TETE WETE HESS HAF ARE m spea ecu 


LESS 


3-14 设备 统计 


【实验 思考 】 


(1) 如 果 和 需要 修改 资产 的 IP 信息 ,应 该 如 何 做 ? 
(2) 在 资产 中 如 何 设 置 接口 信息 ? 


3.2 志 审 计 与 分 析 系 统 资 产 批量 导入 导出 
与 属性 设置 实验 


【实验 目的 】 

本 实验 完成 对 日 志 审计 与 分 析 系 统 中 资产 的 批量 导入 、 导 出 以 及 属性 设置 。 
【知识 点 】 

资产 导入 ,资产 导出 .XLS 格式 。 

【实验 场景 了 


A 公 司 的 日 志 审 计 与 分 析 设 备 由 安全 运 维 工程 师 小 王 负责 。 — HE vx 7 
时 入 到 日 志 审计 与 分 析 系统 中 ,并 对 这 些 资产 进行 安全 等 级 划分 等 操作 。 请 请 思考 应 如 何 
操作 能 够 实现 批量 将 这 些 资 产 导 入 到 设备 中 ,以 及 如 何 将 资产 信息 号 出 设备 。 


【实验 原理 】 


在 日 志 审 计 与 分 析 系 统 中 ,用 户 可 以 在 资产 对 象 安 全 域 列表 中 , 单 击 “ 叶 人 ”, 并 在 并 
产 叶 入 列 表 中 ,选择 要 导入 的 贤 产 信息 文件 ,确定 村 人 策略 ,完成 贤 产 的 批量 村 和 信 。 叶 出 
帝 产 时 只 须 选 择 痪 产 信息 叶 出 路 径 , 即 可 和 完成 资产 村 出 。 帝 产 属 性 的 设置 第 要 将 “次 
产 ”>“ 资 产 属 性 ”中 的 属性 标签 与 资产 相关 联 。 


【实验 设备 】 


。 安全 设备 : 日 志 审 计 与 分 析 设 备 1H. 
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【实验 拓扑 】 
日 志 审计 与 分 析 系统 资产 批量 导 和 导出 与 属性 设置 实验 拓扑 图 如 图 3-15 所 示 。 


GEI: 10.70.25.88 


管理 机 : 10.70.25.22/24 
(以 实际 IP 地 址 为 准 ) 


图 3-15 日 志 审 计 与 分 析 系 统 资产 批量 导入 导出 与 属性 设置 实验 拓扑 图 


【实验 思路 了 


d) 以 管理 员 admin 的 身份 登录 日 志 审 计 与 分 析 系 统 。 
(2) 依次 单 击 "资产 ”一 “资产 列表 ”, 进行 资产 信息 批量 导 人 导出 。 
(3) 设置 资产 属性 。 


【实验 步骤 


(1) 在 管理 机 中 打开 浏览 器 ,在 地 址 栏 中 输入 日 志 审 计 与 分 析 产 品 的 IP 地 址 
“https://10.70.25.88”( 以 实际 IP 地 址 为 准 ), 打 开平 台 登 录 界 面 。 由 于 此 网 址 的 证 书 
未 经 过 认证 ,会 显示 “此 站 点 不 安全 ”, 单 击 “ 详 细 人 信息” 按钮 。 

(2) 在 “详细 信息 ”的 下 面 , 单 击 “ 转 到 此 网 页 ”按钮 ,这 样 在 不 关闭 浏览 器 的 情况 下 可 
以 正常 访问 此 网 址 。 

(3) 使 用 管理 员 用 户 名 /密码 “admin/ 11fw(@2soc#3vpn” 登 录 日 志 审 计 与 分 析 系 统 。 

(4) 登录 后 ,需要 修改 admin 用 户 的 密码 ,本 实验 没有 修改 密码 的 必要 ,所 以 “原始 密 
人 码 ”“ 新 密码 ”确认 新 密码 ”都 输入 “11fw(@2soc#3vpn”, 单 击 “ 确 定 ” 按 钮 。 

(5) 登录 后 ,将 日 志 审 计 与 分 析 系 统 的 网 址 加 入 浏览 更 兼容 性 视图 中 ,以 保证 网 站 中 
的 内 容 可 以 正确 显示 , 单 击 浏览 絮 的 “设置 ”一 “兼容 性 视图 设置 ,进入 “兼容 性 视图 设置 ” 
界面 。 

(6) 进入 “ 基 容 性 视图 设置 ”界面 后 ,在 “添加 此 网 站 ”下 面 输入 设备 地 址 “10. 70. 25. 
88”, 然 后 单 击 “添加 ?按钮 。 

(7) 完成 兼容 性 设置 后 ,关闭 "兼容 性 视图 设置 ?界面 ,进入 日 志 审 计 与 分 析 系 统 界 
面 , 单 击 “资产 ”, 进 入 资产 模块 ,如 图 3-16 所 示 。 

(8) 依次 单 击 “ 资 产 ” 一 “资产 对 象 ”, 首 先 新 建 资产 组 , 单 击 “新 建 ?按钮 ,如 图 3-17 所 示 。 

(9) d PATH A eR til UAE Ta Hl. HE] 3-18 所 示 。 

(100 ERT HERA d" ETT EIC STR. RS S TL. n 3-19 Brzn 。 

(QD 编辑 资产 信息 ,“ 设 备 名 称 ” 输 入 “Windows 服务 器 ”,“ 设 备 IP” 输 入 “192. 168.0. 104", 
“ 子 网 掩 码 ” 输 入 “255. 255. 0. 0", * AREE” mA 3. 0; 选 择 “设备 类 型 ”为 “服务 兹 ”， 
“设备 型 号 ”为 Windows。 本 实验 中 给 出 的 设备 IP. 子 网 掩 码 等 信息 仅 供 参考 ,请 根据 实 
际 情况 填写 , 单 击 “确定 ”按钮 ,如 图 3-20 所 示 。 
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€i 事件 区 ,规则 和 报表 DAR OQ xu o €" ESAE 


添加 查询 场景 


In 


自 定义 报表 


WIN 
Edd c» Cà C5 C5 - Ca Q, i 
EE 


图 3-17 新 建 资产 组 图 3-18 新建 资产 组 


图 3-19 ”添加 资产 


iWindows 服 务 器 。 ”| (最 室 缠 和 64 个 字符 ) 业务 关键 度 (请 输入 0-5 的 数值 ) 
® Ipv4 O IPv6 型 | 服 和 器 ~ 
192.168.0.104 
(合法 的 子 网 掩 码 地 址 ) 

[ —  ] (以 冒号 分 隔 的 6 个 16 


EIER) 


图 3-20 ”编辑 Windows 服务 器 资产 信息 
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(12) 完成 “Windows 服务 着 ”添加 后 ,继续 进行 ”Linux 服务 硕 ” 的 添加 ,重复 步 又 (10) 
和 (11) ,编辑 资产 信息 ,设备 名 称 ” 输 入 “Linux 服务 器 ”, “设备 IP” 输 入 “192. 168. 0. 105", 
“ 子 网 掩 码 ”输入 “255. 255. 0. 0", “业务 关键 度 ” 输 入 3. 0; 选 择 “ 设 备 类 型 ”为 “服务 兹 ”， 
“设备 型 号 ”为 Linux。 本 实验 中 给 出 的 设备 IP、 子 网 掩 码 等 信息 仅 供 参考 ,请 根据 实际 情 
况 填 写 , 单 击 “确定 ”按钮 ,如 图 3-21 所 示 。 


® IPv4 OIPv6 
(合法 的 子 网 撞 码 地 址 


k4 


miei 


3-21 编辑 Linux RA gi 9x J^ fbi 


(13) 批量 导出 资产 时 ,将 资产 批量 选中 , 单 击 “导出 ?按钮 ,选择 导出 格式 ,本 系统 能 
够 以 三 种 格式 导出 资产 ,分别 是 xmlicsv 和 xls。 本 实验 中 选择 xls 格式 进行 导出 ,便于 
导出 后 查看 资产 信息 ,如 图 3-22 所 示 。 


设备 列表 《资产 事件 统计 


如 添加 sx mee Zen 5A 


M| ius 设备 IP. 
Windows 服 务 器 192.168.0.104 


Linux 服 务 器 192.168.0.105 


图 3-22 导出 XLS 格式 的 资产 信息 
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(14) 单 击 " 寻 出 ”按钮 后 ,选择 文件 的 保存 路 径 , 本 实验 中 ,将 文件 存放 至 管理 机 上 利 
面 。 首先 单 击 “保存 ”按钮 ,然后 选择 保存 文件 至 困 面 ,如 图 3-23 所 示 。 


(15) 完成 资产 导出 后 进行 资产 导入 ,新建 “ 防 火 墙 ”资产 组 , 单 击 “ 新 建 ”" 按 钮 ,并 输入 
资产 组 名 称 为 防火墙”, 如 图 3-24 所 示 。 


文件 下 载 


你 雪 打 开 述 是 保存 此 文件 ? 


x h Ef assetxls 
W.: Microsoft Excel 97-2003 工作 雪 


=F. 10.70.25.88 资产 对 象 


C C9 Cx C5 Ch- C3 


2] 来 自 Internet 的 文件 可 能 对 你 有 所 帮助 ， ta 
WW 算 机 。 如 果 你 不 信任 其 来 源 ,请 不 要 打开 或 保存 该 文件 。 月 何 


图 3-23 保存 导出 资产 图 3-24 ”新建 防 火 墙 资产 组 


(16) 在 批量 导 人 资产 信息 时 ,必须 符合 日 志 系 统 要 求 的 格式 才 可 以 被 识别 ,因此 需 
要 按照 模板 来 填写 资产 信息 , 单 击 * 导 和 ”按钮 , 单 击 “下 载 ?按钮 进行 模板 的 下 载 , 并 将 其 
存放 于 管理 机 桌面 ,如 图 3-25 所 示 。 


(E prec 次 ?对 名 > 防火 墙 > 设备 列表 
设备 列表 | E Hit 


Ham es aee Chen & cu 
导入 设备 


文件 * | 


SERE HRA OBESA 
SE 
请 选择 从 本 系统 导出 的 设备 文件 【xml|、csv、 革 s 或 包含 xm 的 zip 文 件 ) SÜSIBT SERA, "BOE Bout 


图 3-25 下 载 导入 模板 


(17) 打开 刚刚 下 载 的 模板 文件 ,按照 模板 输入 “于 产 信息 ”, 击 要 填写 的 有 ”设备 儿 
称 Ure Ard IP”“ 子 网 掩 码 ”业务 关键 度 ”“ ixi Ar 4 t5 =f "«VLEB » AE A , tr HE 
图 3-26 进行 填写 ,填写 完毕 后 ,以 xls R f£ 5 8 MHLE M . 


= [: D F F G - | J K L M N 
YUIP T HR MACH H [天生 TEŽE HEES ”| 设备 位 置 联系 方式 | 设备 描述 | 业务 系统 | 误 备 素性 水 设备 使 用 小 组 识 机 构 
192.168.1.50 |255.255.255.0 安全 设备 “普通 防火 墙 北京 市 :北京 市 

192.168.2.50 |255.255.255.0 m 去 宇 设 备 普通 防火 墙 “北京 市 :北京 市 

TERE PAMA “北京 市 :北京 市 


132.168.3.530 22353.223.253.0 o.o 


3-26 ”填写 资产 导入 文件 


(18) 单 击 “导入 ”按钮 后 ,选择 导入 的 资产 信息 文件 以 及 导入 方式 ,本 系统 提供 两 种 
导 人 方式 ,分 别 是 “ 增 量 导入 ”和 “覆盖 导入 ”, 本 实验 中 选择 “ 增 量 导 人 和信 ”。 单 击 “ 浏 览 ” 按 
钮 ,并 选择 存放 在 管理 机 章 面 的 资产 文件 "assetlmportTemple. xls”, 单 击 “ 确 定 ” 按 钮 , 完 
成 资产 批量 导入 ,如 图 3-27 所 示 。 


!' 资产 > 资产 对 案 > 防火 十 = 设备 列表 


LISSE EI ECL ESA ÉS 
FALB 


交 件 * AUsersiguomuchenDesktoptassetlmportT: [LS |] 
TRR BERRA (BmEA 

Ex IE 

PHREAS Heast ami, csv. xlssktyzxmlizipEt ] SECBFEEE SERA CERAGANm^ Humor 

O HREH 设备 IP- MAC 地 址 


3-27 SAEI 


(19) 单 击 " 资 产 属 性 ”, 进 入 资产 属性 管理 界面 ,可 以 进行 资产 属性 的 添加 、 修 改 、 删 
除 等 操作 ,如 图 3-28 所 示 。 


资产 

i 资产 对 尔 
二 资产 属性 
国资 = 昌 志 


资产 属性 
Ga Co C CR 


C3 资产 尾 性 
由 -问安 全 等 级 
&-L—) 操作 系统 


图 3-28 ABEE M 


【实验 预期 】 


(OD 导出 资产 文件 成 功 。 
(2) 寻 和 人 贰 产 文件 成 功 。 
(3) 查看 新 添加 的 资产 属性 ,关联 资产 属性 和 相关 资产 。 


CHE) 


CD 导出 资产 文件 成 功 ,打开 本 实验 中 导出 资产 文件 asset. xl ,打开 该 文件 ,可 以 查看 
吐出 资产 的 相关 信息 ,如 图 3-29 所 示 。 


A B C D E G 


F - 
[设备 名 称 | 设备 IP 子 网 撞 码 MACHA | 业务 关键 启 设备 类 型 | 设备 型 号 设备 位 置 EK 
Windows Al 192.168. 0.255.255 0. 13.0 服务 器 Windows 北京 市 : 北 
Linux 服 务 i192.168.0.255.255.0. "0.0 服务 器 Linux 北京 市 - 北 


图 3-29 导出 资产 成 功 


(2) 导入 资产 文件 成 功 , 可 以 在 “资产” 一“ 资产 对 象 ”* 中 的 资产 列表 中 找到 刚刚 导入 
的 资产 “防火 填 ”“ 防 火 填 2” 以 及 “防火 填 3" ,证 明 导 入 成 功 , 如 图 3-30 所 示 。 
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H 资产 > 资产 对 条 > 防火 墙 > 设备 列表 


设备 列表 | 资产 事件 统计 


dmn 上 修改 [hme 移动 AeA 3 mE 


设备 IP. 

192.168.1.50 
192.168.2.50 
192.168.3.50 


MACHEHF 


图 3-30 FAA ALFRED) 


(3) 关联 痪 产 属性 与 资产 ,首先 关联 “安全 等 级 ”, 依 次 单 击 “安全 等 级 ”一 “中 ”, 单 击 
“添加 ”按钮 ,如 图 3-31 所 示 。 


aft 
au 


H SH >》 资产 属性 TFR > 关联 的 设备 列表 


[] RESER 设备 IP 


H-O 操作 系统 


图 3-31 关联 资产 属性 
(4) 选中 需要 关联 的 资产 防火墙”, 单 击 “ 确 定 ” 按 钮 ,如 图 3-32 所 示 。 


从 设备 对 象 列 表 中 选择 
可 设备 管理 
日 防火 墙 
-加 器 防 火 墙 
山口 防火 墙 2 
| Locanda 
[服务 器 


DR 


图 3-32 ”选中 关联 资产 
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(5) 添加 完成 后 ,可 以 在 “资产 属性 ”>“ 安 全 等 级 >“ 中 "里面 找到 天 联 的 设备 “防火 
增 ”, 如 图 3-33 所 示 。 


O 资产 > 资产 属性 > 中 > 关联 的 设备 列表 
dmm Um 
[设备 名 称 


L] Pd 192.168.1.50 


3-33 ”查询 资产 


(6) 当 需 要 删除 某 一 资产 与 资产 属性 的 关联 时 ,在 该 资产 属性 分 组 中 找到 该 资产 , 选 
中 后 单 击 “删除 ?按钮 ,如 图 3-34 所 示 。 
A O 资产 》 资产 属性 中、 关联 的 设备 列表 
EL IET 


设备 名 称 
192.168.1.50 


3-34 查询 资产 


(7) 同 理 , 也 可 将 其 他 属性 与 设备 相关 联 , 便 于 更 加 详细 地 描述 资产 ,解决 实验 场景 
中 的 问题 。 


【实验 思考 】 


(1) 同一 个 资产 设备 能 否 同 时 关联 一 个 资产 属性 组 中 的 不 同属 性 ? 
(2) 为 什么 要 规范 几 种 资产 文件 的 格式 ? 


jd 性 
日 TER, PTT- J7 T] -JEJE d 


Za H SERO E 


第 4 和 草 


为 了 防止 亚 意 入 侵 给 网 络 造成 破坏 ,造成 黄 源 的 丢失 ,网 络 党 理 人 员 需 要 能 够 准确 、 
及 时 地 了 解 整个 网 络 的 当前 状态 及 未 来 安全 趋势 ,及 时 发 现 攻击 和 和 危害 行为 ,并 进行 应 急 
啊 应 ,以 便 对 网 络 的 安全 设置 和 资源 配置 做 出 合理 的 应 龟 案 略 , 达 到 事前 预防 、 纵 这 防 御 
的 目的 。 网 络 安全 态 努 评估 和 预测 越 来 越 受 到 人 们 的 关注 ,成 为 网 络 安全 管理 领域 研究 
中 的 热点 回 题 , 而 关联 分 析 则 是 快速 定位 故障 和 入 侵 的 一 个 有 效 手 段 。 

天 联 分 析 又 称 关 联 挖掘 , 指 在 关系 数据 或 其 他 信息 载体 中 ,查找 存在 于 对 象 集合 之 间 
的 关联 .相关 性 或 因 末 结构 ,是 一 种 在 大 型 数据 库 中 发 现 变 量 之 间 关 系 的 方法 。 关 联 的 合 
义 是 将 有 所有 系统 中 的 事件 以 统一 格式 综合 到 一 起 进行 观察 。 关 联 技术 不 但 在 商业 领域 被 
广泛 使 用 ,在 医疗 、 保险、 网 络 安全 和 电信 行业 等 领域 也 得 到 了 有 效 的 应 用 。 


4 1 日 志 审 计 与 分 析 系 统 网 络 设 备 日 志 采 集 实 验 


【实验 目的 】 

日 志 审计 与 分 析 系 统 提供 日 志 采 集 功 能 ,本 实验 通过 winbox 远程 控制 MikroTik 路 
由 器 实现 路 由 器 的 日 志 转 发 ,将 日 志 收 集 到 日 志 审 计 与 分 析 系 统 中 。 

【知识 点 了 

日 志 收 集 、 网络 设 备 、 路 由 天。 

【实验 场景 】 


A 公司 的 日 志 审 计 与 分 析 系 统 由 安全 运 维 工 程 师 小 王 负 责 。 目 前 ,4 | 
用 日 志 审 计 与 分 析 系 统 监控 网 络 中 的 路 由 冀 的 日 志 , 以 便 及 时 发 现 和 分 析 人 处 理 问题 。 请 
思考 应 如 何 实 现 。 


【实验 原理 】 
日 志 审 计 与 分 析 系统 能 够 通过 多 种 方式 全 面 采 集 网 络 中 各 种 设备 ` 应 用 和 系统 的 日 
志 , 确 保 用 户 能 够 收集 并 审计 必需 的 日 志 信息 。RouterOS 路 由 系统 可 利用 winbox 控制 


台 对 其 进行 控制 ,通过 winbox eps mii RouterOS Ij H x 44. np X i HL as HJ H 
志 信 息 发 送 至 日 志 审 计 与 分 析 设 备 中 ,依次 单 击 “资产 ”一 “资产 日 志 ”, 可 查看 对 应 的 资产 
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志 管 理 信息 ,此 外 ,依次 单 击 “事件 ?实时 监视 ”一 “接收 的 外 部 事件 ”, 可 查看 接收 到 
ye 志 信 息 。 


【实验 设备 】 


。 安全 设备 : 日 志 审 计 与 分 析 设 备 1 台 
。 HLA i: Windows 主机 1 从。 
。 网 络 设备 : MH 1t. 


【实验 拓扑 】 
日 志 审 计 与 分 析 系 统 网 络 设备 日 志 采 和 集 实验 拓扑 图 如 图 4-1 所 示 。 


GEI: 10.70.25.88/24 


管理 机 : 10.70.25.22/24 WXP 庶 拟 机 : 


(以 实际 IP 地 址 为 准 ) 192.168.1.16/24 


图 4-1 日 志 审 计 与 分 析 系 统 网 络 设 备 日 志 来 集 实验 拓扑 图 


【实验 思路 了 


CD 在 管理 机 疹 使 用 Xshell 进入 日 志 审 计 与 分 析 系 统 后 台 , 配 置 系统 路 由 信息 
(2) 以 管理 员 admin 用 户 的 身份 登录 日 志 审 计 与 分 析 系 统 。 

(3) 登录 Windows 系统 ,在 winbox 中 进行 路 由 希 日 志和 程 配 置 。 

(4) 修改 路 由 冀 设 置 。 

(5) 在 日 志 审 计 与 分 析 系 统 端 查看 日 志 收 集 是 否 成 功 。 


(1) 在 管理 机 端 音 击 Xshell 图 标 ,打开 Xshell. 

(2) 在 会 话 框 中 单 击 “ 新 建 ”" 按 钮 ,创建 新 的 会 话 。 

(3) 在 “主机 ? 栏 中 输入 日 志 审 计 与 分 析 系 统 GEI 接口 的 IP 地 址 “10. 70. 25. 88”( 以 
实际 IP Hb HE D EO ,其 他 设置 保持 不 变 , 单 击 “ 确 定 ” 按 钮 。 

(4) 新 建 的 会 话 会 在 “所 有 会 话 ” 中 显示 ,选中 “新 建 会 话 ”, 单 击 “ 连 接 ” 按 钮 。 

(5) 单 击 “ 一 次 性 接受 ”按钮 。 

(6) 在 “请 输入 登录 的 用 户 名 ”一 栏 中 输入 用 户 名 admin, 单 击 “ 确 定 ” 按 钮 。 

(7) 在 “密码 ” 栏 中 输入 密码 “@1fw 划 2soc$ 3vpn”, 单 击 “ 确 定 ” 按 钮 。 

(8) 成 功 登 录 日 志 审 计 与 分 析 系 统 后 台 

(9) 输入 命令 “secfox -e ethl-p 172. 16. 8. 60 -m 255. 255. 255.0”( 以 实际 IP 地 址 为 
准 ) ,设置 日 志 审 计 与 分 析 系 统 GE2 接口 的 IP 地址。 其 中 ,“172. 16. 8. 60"J& GE2 AH 
IP 地 址 ,“255. 255. 255.0” 是 GE2 Hf] diio, TZ Enter 键 ,出 现 “modify ip ...”, 说 明 
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接口 信息 配置 成 功 。 

(10) 打开 浏览 器 ,在 地 址 栏 中 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “https://10. 70. 
25. 88”( 以 实际 IP 地 址 为 准 ), 单 击 “ 继 续 浏 览 此 网 站 ”, 打 开平 台 登 录 界 面 。 

(11) 输入 管理 员 用 户 名 /密码 "admin/y 1lfw@2soc 井 3vpn”, 单 击 “ 登 录 ? 按 钮 ,登录 日 
志 审 计 与 分 析 系 统 。 

(12) 系统 设置 的 密码 有 效 期 为 7 天, 当 登录 系统 后 收 到 更 改 密码 提示 时 , 单 击 “ 确 
定 ” 按 钮 ,更 改 系 统 密码 。 

(13) 在 “原始 密码 ”一 栏 输 入 原始 密码 “11fw(@2soc# 3vpn”, 在 “新 密码 ”一 栏 输 入 
“11fw(@2soc# 3vpn”, 与 原始 密码 相同 ,在 “确认 新 密码 ”一 栏 输入 “11fwG@2soc# 3vpn”， 
捍 击 “确定 ”按钮 。 

(14) 单 击 浏览 器 中 的 “工具 ”一 “兼容 性 视图 设置 ”， 

(15) 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “https://10.70.25.88”( 以 实际 IP 地 址 为 
AO , 单 击 “ 添 加 ”按钮 ,添加 网 站 兼容 性 视图 。 

(160 单 击 “关闭 ”按钮 ,退出 设置 。 

(17) 进入 日 志 审 计 与 分 析 系 统 后 , 单 击 “ 系 统 ” 一 “系统 维护 ”, 可 看 到 系统 “IP 地 址 配 
置 1” 为 “172. 16. 8. 60”, 即 日 志 审 计 与 分 析 系 统 GE2 接口 的 IP 地 址 。 

(18) 将 管理 机 时 间 与 日 志 审 计 与 分 析 系 统 时 间 统 一 。 在 日 志 审 计 与 分 析 系 统 中 , 单 
击 “ 系 统 ”>“ 系 统 维护 ”, 接 着 单 击 “时 间 校 对 设置 ” 框 中 的 “手动 校 时 ”选项 。 

(19) 单 击 “时 间 ? 一 栏 的 钟表 图 案 。 

(20) 选择 与 管理 机 统一 的 时 间 ( 以 实际 时 间 为 准 )。 

(21) Æi bE Fr a A Ab iB h i E o 

(22) 单 击 “修改 时 间 ”, 完 成 日 志 审 计 与 分 析 系 统 时 间 的 手动 修改 。 

(23) 修改 成 功 后 ,系统 会 跳 转 至 登录 界面 ,重新 输入 用 户 名 / 密 人 码 “admin/11fw(@ 
2soc 井 3vpn”, 登 录 日 志 审 计 与 分 析 系 统 。 

(24) 重新 登录 后 ,查看 系统 界面 右 下 方 的 时 间 ,与 管理 机 时 间 相 同 。 

(25) Y&jfÉ"con-router" , fJ F Fé H Aè, AE] 4-2 所 示 。 


GE]: 10.70.25.88/24 


管理 机 : 10.70.25.22/24 WXP 庶 拟 机 : 
(以 实际 IP 地 址 为 准 ) 192.168.1.16/24 


42 ”打开 路 由 器 


(260 输入 用 户 名 admin. 42 83 Jg zs . XE o Bt H es W IE] 4-3 所 示 。 


Q3 登录 路 由 器 
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(27) 输入 命令 “ip addr pri” . d A p Hi ss P FRAY IP 配置 。 其 中 ,与 Windows 系统 相 
连 的 接口 2 的 IP 地址 为 “192. 168.1. 254”, 与 日 志 审 计 与 分 析 系 统 相 连 的 接口 1 的 IP 地 
址 为 “172. 16. 8. 1”, 如 图 4-4 所 示 。 


Li 


ADDHEA 
172.16.8.1^724 
192.168.1.254»^24 


P 


4-4 hg IP 配置 


(28) 输入 命令 /system ntp client". 设置 时 间 同 步 , 如 图 4-5 Brz 


[admninBMikroTik]l 


[adninBMikroTikl ^»sustem ntp client»? 


图 4-5 设置 时 间 同 步 


(29) 输入 命令 “set mode = unicast primary-ntp — 210. 72. 145. 44 secondary-ntp = 
210. 72. 145. 44 enabled— yes" , 设置 ntp 地 址 ,如 图 4-6 所 示 。 


adminBMikroTikl]l ^suystem ntp client? node-unicast primaru-ntp-2Z218.72.145.44 


secandary-ntp-Z18.72.145.44 enabled-ues 
LadmintMikrolik] zsystem ntp client 


4-6 配置 ntp 地 址 


(300 办 入 命令 “..”, 回 退 至 上 一 级 ,如 图 4-7 所 示 。 


[adminBMikroTikl -system ntp client» set mode-unicast primary-ntp-2Z1H.72.145.44 
secondary-ntp-218.72.145.44 enabled- 

[adninBMikroTikl system ntp ctiento[.. | 

[admin8WMikroTik] sustem ntp> 


图 4-7 回 退 至 上 一 级 


(GI 输入 命令 “..”, 回 退 至 system 目录 下 ,如 图 4-8 所 示 。 


[admimeMikroITiK] »sustem ntp client» 
[adminBMikroTik]l sustem ntp»? 
[adminBMikraTikl »sustem» 


图 4-8 回 退 至 system 目录 


(32) 输入 命令 “..”, 回 退 至 根 目录 ,如 图 4-9 所 示 。 


[admingMikrolTik] -system ntp client»? 


[admin@MikroTik] syustem ntp> .. 
[adninBMikroTik] /sustem|.- ] 
[adminBMikroTikl > 


&] 4-9 回 退 至 根 目录 


(33) 输入 命令 "“/system clock set time-zone-name = Asia/Shanghai time 王 14:03:20 
date 王 Apr/117/2018”( 时 间 及 日 期 设置 以 实际 时 间 为 准 ) ,其 中 ,tme-zone-name 表示 时 区 
名 称 ,time 代表 时 间 darte 代表 日 期 ,如 图 4-10 所 示 ， 
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PALLmD | 


Lock Asliashanghal 14:03:20 | 


- - 二 14:03 
€? PDOo^5 S m ogdxit € T A 


(34) MAMA“ / system clock pri". & A 1 PUn W Z SEI f] . 5j E EDL [8] S6 — A 
图 4-11 所 示 。 


idminBMikroTikl > ^sustem clock 
time: 卫生 :机 :cz 
date: apr^;11^7H1H 
time-zone-name: fisiazShanghai 
gnt-offset: 
adminlMikroaTikl > 


图 4-11 查看 修改 时 间 


(35) 选择 WXPSP3, 打 开 Windows 系统 ,如 图 4-12 所 示 。 


管理 机 : 10.70.25.2224 WXPSP3 虎 拟 机 : 
(以 实际 IP 地 址 为 准 ) 192.168.1.16/24 


4-12 打开 Windows 系统 


(36) 蛙 击 时 面 上 的 “实验 工具 ”, 双 击 winbox 文件 来 ,查看 winbox 工具 。winbox 是 
基于 Windows 的 远程 管理 RouterOS 路 由 系统 的 软件 ,为 用 户 提供 直观 方便 的 图 形 田 
面 ,如 图 4-13 所 示 。 


rig) 4g XE) xm IAD Fy 


xex m 


| 加 作为 人 0J 片 查看 
2 EESILLTESES F 
b 打印 图 


| XPPRUPPEXCEEAS 
EUN BrE mL 
| eg vcn wm 
3 "eb 


图 4-13 ”打开 winbox 文件 夹 


(37) 双击 “winbox5. x 中 文 版 .exe”, 打 开 winbox 工具 ,如 图 4-14 所 示 。 
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Erg) KET FEO 收藏 由 IAD Smp 


Whit Q0 O C: Meeunents and Settings lAdnini strator ALBAS T Bivwinboz O ë ë S 


|o 图 片 任务 


T 作为 幻灯 片 查看 
@ BITER 
"c 


PreTTP" 
c9 &BB— CHER 
G 和 这 个 文件 天 发 到 
ug nm 


图 4-14 打开 winbox 工具 


(38) 在 “路 由 地 址 ”一 栏 输入 路 由 器 接口 ?2 的 IP 地 址 “192. 168. 1. 254”( 以 实际 IP 
地 址 为 准 ) , 单 击 “ 连 接 ” 按 钮 ,如 图 4-15 所 示 。 


i" mills 
& E: | 


IE FREE: :5.20,5.22,5.24. www.ragzj.com ROSTE 


(39) 单 击 “系统 ”一 “日 志 ”, 打 开 winbox 的 日 志 管 理 , 如 图 4-16 所 示 。 


一 WinBHor y5. 20 omn x&b... PSI 


图 4-16 打开 winbox 日 志 管 理 
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(40) 选择 “动作 ”标签 页 ,双击 名 称 为 remote 有 目 类 型 为 “远程 ”一 栏 , 配 置 远 程 地 址 ， 
如 图 4-17 所 示 。 


? admin$t192.168.1.254 (Eikrolik) - WinBor v5.20 on xB5... © IE x] 


Hs 


规则 [528] 


当前 4 项 EDIT 


图 4-17 打开 日 志 的 远程 设置 


(41) 在 “远程 地 址 ?一 栏 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “172. 16. 8. 60”, 其 他 配 
置 保持 默认 值 不 变 , 单 击 “ 确 定 ? 按 钮 ,如 图 4-18 Bron, 


© admin&192.168.1.254 (Nikrolik) — WinBox v5.20 on x86... fa OF 


ERRO: 514 
mibi. 0.00.0 
|, . BSU Syslog 


素 接 日 老 设备 : |3 (demon) |F 


严重 的 系统 日 志 : [ 


当前 4 项 (被 选中 1 项 ) 


图 4-18 设置 日 志 远 程 地 址 


(42) 选择 “规则 ”标签 页 ,双击 主题 为 info 一 栏 , 如 图 4-19 所 示 。 
(43) 单 击 “动作 ”一 栏 的 下 拉 选 项 ,选择 remote, 单 击 “ 确 定 ” 按 钮 ,将 info 信息 发 送 
至 日 记 审 计 与 分 析 系 统 , 如 图 4-20 所 示 。 
(44) H EN critical error 和 warning 对 应 的 动作 也 修改 为 remote, 操 作 与 info 一 
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© admin 1982.168.1.254 (NikroTik) 一 WinBox v5.20 on x86 (x86) 


v EREB EC 


warning memory 


当前 4 项 被 选中 1 项 ) 


图 4-19 打开 info 规则 


© adnin@19?. 168. 1.254 (Nikrolik) — WinBox v5.20 on x86 (x86) Mia 


AM 动作 


DEREN a 


IE: 日 志 规 则 <info 


当前 4 项 (被 选中 1 项 ) 


图 4-20 修改 info 日 志 动 作 
致 ,修改 结果 如 图 4-21 所 示 。 
【实验 预期 】 


(1) 单 击 “ 资 产 ”> “资产 日 志 ”, 可 查看 路 由 群 IP 对 应 的 资产 日 志 管 理 信息 。 
(2) 在 Windows 端 修改 路 由 融 日 志 规 则 ,依次 单 击 日 志 审 计 与 分 析 系 统 界 面 中 的 
“事件 "一 实时 监视 "一 “接收 的 外 部 事件 ”, 可 以 接收 到 该 日 志 信 息 。 
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一 Winios v5.20 on xr&B... ei 


© admin192.168.1.254 (NEikrolik) 
o 0 Zer 
接口 


Er 
un 


eritical 
error 
info 

|f warning 


图 4-21 修改 全 部 日 志 动 作为 remote 


【实验 结果 】 
CD 在 日 志 审 计 与 分 析 系 统 主 界面 中 单 击 “资产 ”一 “资产 日 志 ”, 接 着 单 击 “刷新 ” 按 
钮 ,可 看 到 路 由 右 IP 对 应 的 资产 日 志 管 理 信息 ,如 图 4-22 所 示 。 


SecFo 
EET CE bn ata fe CC "u-————nsnn—AÁÀ 


t BA o HAEE > SATEN 
Barawe Bigi Faw jurs P mama 


172.16.8.1 2018-04-11 15:08:08 


图 4-22 PUE PE SS Hos E E 
(2) EP ER Hl as HJ H x ERI A , 单 击 “ 人 允许 接收 ?按钮 ,使 日 志 审 计 与 分 析 系 统 
及 时 接收 路 由 器 的 日 志 人 信息, 如 图 4-23 所 示 。 


IS SecFax-LAS 
—— ee il Asr ban Eo NI TII MEE 


Sissit GE UMS KEISEAN 


BP Weil E —REZSN 
172.16.8.1 ' 2018-04-11 15:08:06 


图 4-23 ”修改 接收 状态 


(3)“ 接 收 状 态 ” 一 栏 被 更 改 为 “允许 接收 ”, 如 图 4-24 Bron. 
(4) Æ Windows 系统 的 winbox 中 ,选择 “规则 ”标签 页 ,双击 主题 为 critical 一 栏 ,如 


图 4-25 所 示 。 


(5) 单 击 “ 动 作 ” 一 位 的 下 拉 选 项 ,选择 echo, 单 击 “ 确 定 ” 按 钮 ,如 图 4-26 Bro. 
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后 SecFox-LAS 


T 资产 > 资产 日 志 > 资产 日 志 管 理 

Heim C»ipggege Jw Cum; RIASA 

F mri mv 3 20 收 到 的 最 近 一 条 日 志 时 间 
E 172.16.8.1 d ftiit 2018-04-11 15:08:06 


图 4-24 VFR SE BEIBCIER Hi de H 


B admin$t192.168.1.254 (NikroTik) 一 WinBox v5.20 on x86 (x88) 


eritical remote 
] I 
li 


remote 


warning remote 


DID 


E: - 志 规 mi] £eritical-» 
| zm: eiea [9l 
eD y 


当 副 4 项 (镇 选 中 1 项 ) 


图 4-26 ”修改 critical 日 志 动 作 
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(60 在 日 志 审 计 与 分 析 系 统 主 界面 中 依次 单 击 “事件 ”一 “实时 监视 ”一 “接收 的 外 部 
事件 ”, 可 查看 路 由 硕 日 志 规 则 修改 的 日 志 信 息 , 如 图 4-27 所 示 。 


dm Sar |ts banu [Uam San Asi € xem 


& 6 Br S 2 RAR 
HS | Et 
dF EES ad | dte MEATA 


È B-315n4 6 
dy 01-15 18:3l:01 IE —1 172.16.8.1 


当前 每 秘 日 志 沼 ; 0.01 AASA: 2 


产生 时 剂 01-15 18:31:05 
HEFTA ü 


BETTA 0 
设 徊 地 址 172,16.8.1 


设备 等 型 FX 
KE 1952.168.1.60 
mae SECFOX LAS 20170705 172 


SHEA 
图 4-27 查看 到 日 志 信 息 


【实验 思考 】 
如 何 收 集 Cisco 交换 机 的 日 志 信息 


4.2 日 志 审 计 与 分 析 系 统 应 用 系统 日 志 采 集 实 验 


【实验 目的 】 


日 记 审 计 与 分 析 系 统 提 供 日 记 收 集 功 能 ,本 实验 通过 更 新 Rsyslog 配置 文件 实现 
Apache 应 用 的 日 志 转 发 ,将 SEM 日 记 审 计 与 分 析 系 统 中 。 


【知识 点 】 
日 志 收 集 .应 用 系统 、Apache。 
【实验 场景 】 


A 公司 新 购 进 了 一 全 日 志 审 计 与 分 析 设 备 , 并 将 此 设备 区 由 安全 运 维 工 程 师 小 王 
贡 。 在 购 进 日 志 审 计 与 分 析 设 备 之 前 ,小 王 虱 采用 ee 
第 上 查看 日 志 信 息 ,非常 腑 烦 。 现 小 王 想 oa 与 分 析 设 备 作 为 一 个 统一 
HJ HIE as i Apache 应 用 的 日 志 都 发 送 到 这 侣 日 志 服 务 表 中 ,及 时 获取 Apache 应 
用 最 近 的 日 志 信 息 。 请 思考 应 如 何 解 决 这 个 问题 。 
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【实验 原理 】 


日 记 审 计 与 分 析 系 统 文 持 通过 Syslog 网 络 协 议 及 集 网 络 中 各 种 设备 、 应 用 和 系统 的 

| 志 ,确保 用 户 能 够 收集 并 审计 必需 的 日 志 信 息 。CentOS 系统 中 Apache 应 用 的 日 志文 

RE 日 KF, 通过 更 新 Rsyslog 配置 文件 ， 可 将 Apache 应 用 的 日 志 TUS Ia Ii 

发 送 至 日 六 审计 污 分 析 设 备 中 , 单 击 " 质 产 ” ”资产 日 忘 ”可 查看 对 应 的 质 产 日 志 管 理 信 

上 ,此 外 ,还 可 依次 单 击 "事件 ”一 ”实时 监视 ”一 ”接收 的 外 部 事件 ” ,查看 接收 到 的 应 用 系 
统 的 日 志 信 息 。 


【实验 设备 】 


。 安全 设备 : 日 志 审 计 与 分 析 设 备 1 台 。 
。 主机 终端 ; Linux 主机 1 S 


【实验 拓扑 】 
日 志和 审计 与 分 析 系 统 应 用 系统 日 志 采 和 集 实 验 拓扑 图 如 图 4-28 所 示 。 


GE2: 172.16.8.60/24 


管理 机 : 10.70.25.22/24 PC: 172.16.8.30/24 
(以 实际 IP 地 址 为 准 ) 


图 4-28 日 志 审 计 与 分 析 系 统 应 用 系统 日 志 采 集 实验 拓扑 图 


【实验 思路 】 


(1) 在 和 学 生机 端 使 用 Xshell 进入 日 志 审 计 与 分 析 系 统 后 台 , 配 置 系统 路 由 信息 。 
(2) 以 管理 员 admin 用 户 的 身份 登录 日 直 志 审 计 与 分 析 系 统 。 

(3) 登录 Linux 系统 ,配置 系统 便 件 地 址 。 

(4) 创建 Apache 相关 的 Rsyslog 子 配 置 文件 ,并重 局 服务 。 

(5) 查看 日 志 收 集 是 否 成 功 。 


【实验 步骤 】 


(D 在 学 生机 病 单 击 Xshell 图 标 , 打 开 Xshell, 
(2) 在 会 话 框 中 单 击 “ 新 建 ” 按 钮 ,创建 新 的 会 话 。 
(3) 在 “主机 ? 栏 中 输入 日 志 审 计 与 分 析 系 统 GEI 接口 的 IP 地 址 “10. 70. 25. 88”( 以 
实际 IP. 地 址 为 准 ) ,其 他 设置 保持 不 变 , 单 击 “ 确 定 ” 按 钮 。 
(4) 新 建 的 会 话 会 在 “所 有 会 话 ” 中 显示 ,选中 “新 建 会 话 ”, 单 击 “ 连 接 ” 按 钮 。 
(5) 单 击 “ 一 次 性 接受 ”按钮 。 
(6) 在 “请 输入 登录 的 用 户 名 ”一 位 中 输入 用 户 名 admin, 单 击 “ 确 定 ” 按 钮 。 
(7) 在 “密码 ” 栏 中 输入 密码 “@1fw#2soc$ 3vpn”, 单 击 “ 确 定 ” 按 钮 。 
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(8) 成 功 登 录 日 志 审 计 与 分 析 系 统 后 台 。 

(9) 输入 命令 “secfox -e ethl -p 172. 16. 8. 60 -m 255. 255. 255. 0”, 设置 日 志 审 计 与 
分 析 系 统 GE2 接口 的 IP 地址。 其 中 ,“172. 16. 8. 60"3& GE2 口 的 IP 地 址 , “255. 255. 
255.0” 是 GE2 口 的 子 网 掩 码 。 按 Enter 键 , 出 现 “modify ip ... ?说明 接口 信息 配置 成 功 。 

(10) 打开 浏览 器 ,在 地 址 栏 中 输入 日 志和 审计 与 分 析 系 统 的 IP 地 址 “https://10. 70. 
25. 88”( 以 实际 IP 地 址 为 准 ) , 单 击 * 继 组 浏览 此 网 站 ”, 打 开平 台 登 录 界 面 。 

(11) 输入 管理 员 用 户 名 /密码 “admin/ 11fw@2soc#3vpn$”, 单 击 “ 登 录 ” 按 钮 ,登录 
日 志 审 计 与 分 析 系 统 。 

(12) 系统 设置 的 密码 有 效 期 为 7 天 , 当 登 录 系 统 后 收 到 更 改 密码 提示 时 , 单 击 “ 确 
定 ” 按 钮 ,更 改 系 统 密码 。 

(13) 在 “原始 密码 ”一 栏 输 入 原始 密码 “11fw@2soc#3vpn$”。 在 “新 密码 ”一 栏 输 
人 “1]fw@2soc 并 3vpn $$”, 与 原 怒 密 码 相 同 。 在 “确认 新 密码 ”一 位 输入 “11fw(@2soc## 
3vpn$”, 单 击 “ 确 定 ” 按 钮 。 

(14) 单 击 浏览 器 中 的 “工具 ”一 “兼容 性 视图 设置 ”。 

(15) frs tH f "aie PE UE] E EU Aa FS B AH Sv scm IP 地 址 
"https: //10. 70. 25. 88" CA Sc Pr IP 地 址 为 谁 ), 单 击 " 添 加 ?按钮 ,添加 网 站 兼容 性 视图 .。 

(16) 添加 成 功 后 ,表单 击 “ 关 闭 ” 按 钮 ,退出 设置 。 

(17) 进入 日 志 审 计 与 分 析 系 统 后 , 单 击 “系统 ”系统 维护 ” ,可 看 到 系统 "IP 地址 配 
置 1” 为 “172. 16. 8. 60”, 即 日 志 审 计 与 分 析 系 统 GE2 接口 的 IP 地址 。 

(18) 将 管理 机 时 间 与 日 志 审 计 与 分 析 系 统 时 间 统 一 。 在 日 志 审 计 与 分 析 系 统 中 , 单 
击 “ 系 统 ”>“ 系 统 维护 ”, 接 着 单 击 “时 间 校 对 设置 ” 框 中 的 “手动 校 时 ”选项 。 

(19) 单 击 “ 时 间 ” 一 柱 的 钟表 图 案 。 

(20) 选择 与 学 生机 统一 的 时 间 。 

(21) Æi bE F o A Ab iB h i Eo 

(22) 单 击 “修改 时 间 ”, 完 成 日 志 审 计 与 分 析 系 统 时 间 的 手动 修改 。 

(23) 修改 成 功 后 ,系统 会 跳 转 至 登录 界面 ,重新 输入 用 户 名 /密码 “admin/11fwG@ 
2soc # 3vpn $ ”登录 日 志 审 计 与 分 析 系 统 。 

(24) 重新 登录 后 ,查看 系统 界面 右 下 方 的 时 间 , 与 学 生机 时 间 相 同 。 

(25) 选择 “LC6. 6APACHE”, 打 开 Linux 系统 ,如 图 4-29 所 示 。 


GE2: dune = 
管理 机 : 10.70.25.22/24 


(以 实际 IP 地 址 为 准 ) PC: 172.16.8.30/24 


4-29 打开 Linux 系统 


GEI: 10.70.25.22/24 


(26) 输入 用 户 名 /密码 “root/123456”, 登 录 Linux 系统 ,如 图 4-30 所 示 。 
(27) 修改 Linux 系统 的 时 间 ,使 其 与 学 生机 时 间 保 持 一 致 。 输 入 命令 “date -s 01/ 
22/2018”( 以 实际 时 间 为 准 ) ,修改 系统 日 期 ,如 图 4-31 所 示 。 


/1 


CentÜüS release 6.6 (Final) 
kernel Z.5.32-584.e16.x86 64 on an x86 64 


root login: root 
Password: _ 


4-30 登录 Linux 系统 


[rootülroot zT fate -S ET 
Mon Jan Z2 HBA:HH: 
[rootilhroot "1i 


图 4-31 修改 日 期 


(28) 输入 命令 “date -s 17;37:33”( 以 实际 时 间 为 准 ), 修 改 系 统 时 间 , 如 图 4-32 


[rooteroot ~IN date -& 817227 
Mon Jan ZZ d ESI 
[root@root 

Mon Jan ZZ 

[roaotBroaot 


图 4-32 ”修改 时 间 


(29) 输入 命令 “clock -w”, 把 时 间 更 改写 入 cmos, 使 得 重 局 后 依然 生效 ,如 图 4-33 


~ 

i 
S 
本 | 
o 


[root@root "14 date -s B81^22^72818 
Mon Jan zz HBH:BB:BHB EST 2B18 
[root@root ^ 1]H date -全 17:3?:33 
Mon Jan zz 17: l7. 

[root@root | 


[rootBi root 


图 4-33 修改 生效 


(30) 输入 命令 “date”, 查 看 修改 后 的 系统 时 间 ,与 学 生机 时 间 一 致 ,如 图 4-34 所 示 
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17:40 
2018/1/22 


图 4-34 查看 修改 后 的 系统 时 间 


(31) 输入 命令 “ifconfig”, 查 看 Linux 系统 的 IP 地 址 ,如 图 4-35 所 示 。 


entÜüS release 6.6 (Final) 
Kernel zZ.5.3£-584.&€e16.x86 64 on an x85 64 


root login: root 


if conf ig 
Link encap:Ethernet HWaddr 82:31:35:87:12:3fi 
inet addr:192.168.122.17  Bcast:192.168.122.255  Mask:255.255.255.B 
inet6 addr: fe8H::31:35ff :feH7:123a^64 Scope:Link 
UP BROADCAST RUNNING MULTICAST  MTU:158B Metric:1 
HX packets:791H3 errors:H dropped:H overruns:H frame:HB 
TX packets:12 errors:BH dropped:BH overruns:B carrier: 
collisions:B txqueuelen: 1H8BB 
RX bytes:4746188 (4.5 MiB) TX bytes:7Z0 (726.0 b) 


Link encap:Local Loopback 

inet addr:127.B8.B8.1 MMask:255.8.H8.H8 

inet6 addr: ::1/7/128 Scope:Host 

UP LOOPBACK RUNNING  MTU:65536 Metric:1 

HX packets:34 errors:H dropped:H ouerruns:B frame:B 
TX packets:34 errors:H dropped:B8 overruns:H carrier:H 
collisions:B txqueuelen:H 

HX buytes:Z4U04 (2.4 KiB) TX bytes:Z484 (2.4 KiB) 


4-35 查看 Linux 系统 的 IP 地 址 


(32) 当前 活跃 网 卡 为 eth3 ,再 次 输入 命令 “ifconfig eth3 172. 16. 8. 30 netmask 255. 
255.255. 0”, 设置 CentOS IRA kF HJ IP 地 址 为 “172. 18. 8. 30". T P] d 3 73 * 255. 255. 
255.0”, 如 图 4-36 所 示 。 


rootūroot ~ 


rootliroot 


4-36 设置 CentOS 服务 器 地 址 


(33) 命令 执行 完成 后 ,再 次 输入 命令 "ifconfig”, 可 见 eth3 的 IP 地 址 已 变更 为 “172. 
16. 8. 30”, 如 图 4-37 所 示 。 

(34) 输入 命令 “service httpd start" ,局 动 服 务 肯 的 Web 服务 ,如 图 4-38 所 示 。 

(35) CentOS 系统 中 Apache 应 用 的 日 志 路 径 默认 为 Vvar/logyhttpd。 输 入 命令 “cd 
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[root roo! | 1 可 
eth3 Link encap: -Ethernet HWaddr HZ:31:35:H7:12:3fh 
inet addr: 172. 16.8. Jü Bcast:172.16.8.255 Mask: SEE SEE 232. H 


1netbh addr. HE]: MEE : SZXq-l.FASR—LESGLE cope. Lini 
UP BROADCAST RUNN ING MULTICAST MTU:158H Metric:1 

Rx packets:2274528 errors:BH dropped:B overruns:B frame: 
TX packets:12 errors:B dropped:H ouerruns:B carrier: 
collisions:B txqueuelen: 1888 

RX bytes:13647168B8 (138.1 MiB) TX bytes:728 (728.8 b) 


Link encap:Local Loopback 

inet addr:127.8.8.1 MMask:255.8.8.H 

inet6 addr: ::17128 Scope:Host 

UP LOOPBACK RUNNING  MTU:65536  Metric:1 

Rx packets:36 errors:B dropped:H overruns:B frame:B 
TX packets:3b errors:H dropped:H overruns:B carrier:H 
collisions:H txqueuelen:H 

RX bytes:2592 (2.5 KiB) TX bytes:2592 (2.5 KiB) 


4-37 确认 IP 地 址 


[root@root "lüt|servuice Md da start 
Starting httpd: i ' ^ info -gett) failed for root 
ittpd: Could not reliably rest the seruer's fully qualified domain name, us 


ing 127.H.H.1 for serverName 


[rootProot "1]HU 


图 4-38 局 动 Web 服务 


/var/log/httpd”, 进 入 该 目录 ,接着 输入 “ls”, 可 以 看 到 目录 内 包含 Apache 日 志文 件 
“access_log” 和 “error_log”, 如 图 4-39 所 示 。 


[rootBroot "14 cd ^var^zlog^/httpd^ 
| )d ]# 1 


图 4-39 ”查看 应 用 日 志 


(36) 输入 命令 “cd”, 返 回 Linux 系统 根 目 录 , 如 图 4-40 所 示 。 


[rootBroot CJ]# cd ^var^z/log^httpd 
[ronotBü root httpd]# ls 
nccess log error log ssl access log ssl error log-ZH18H11*? 
ACCESS -log- -20188113 i ssl_error_log ssl request log 
tod tile. 


图 4-40 返回 系统 根 目 录 


(37) 输入 命令 “mkdir -v /var/spool/rsyslog”, 创 建 ^/var/spool/rsyslog” 目 录 , 该 目 
录 为 Apache 应 用 对 应 的 Rsyslog 子 配 置 文件 的 工作 目录 ,如 图 4-41 所 示 。 


created 
[root@root "18 


图 4-41 创建 工作 目录 


(38) 输入 命令 “vi /etc/rsyslog. d/apache-biglog. conf”, 新 建 Rsyslog 的 子 配 置 文件 
apache-biglog. conf, "ll E] 4-42 所 示 。 

(39) 按 Enter 键 ,进入 新 创建 的 文件 ,此 时 文件 内 容 为 空 ,如 图 4-43 所 示 。 

(40) 按 1 键 ,进入 输入 模式 。 在 文件 中 输入 配置 信息 : 
80 


[root@root httpd]# cd 
[root@root "18 mkdir -v ^var/spoo 


mkdir: created „d 
[rootBProot 7 Ï 


图 4-42 ”新建 子 配 置 文件 


图 4-43 ”打开 子 配 置 文件 


$InputRlepdllrtevl 10 
$ PrivDropIoCroup adm 


$InputHleNane /var/log/httpd/access. log 
$InputhileTae apache- access: 
$InputFileSatelile stat- apache- access 


$InputlileNane /var/log/httpd'errar. log 
SInpiHileTae apade- era: 
SInpiHleSateHle stat- apade- error 
$ InputFileSsverity info 

$ InputFlePersistStatelnterval 25000 


$tenplate BigloeFarnmtA 

if $proerammane- = apacher axess then (9172.16 860 5LEBigloeFormt Apache 
if $progranmane= = 'apadhe- access. then ~ 

if $programnane- = 'apacdhe- erar then. 17216860514 BigloeFornnt Apede 
if $programmane- = apache- erar then ~ 
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日 志 审 计 与 分 析 实 验 指导 


将 日 志文 件 名 、 文 件 路 径 、 日 志 发 送 端 地 址 和 接口 等 信息 写 入 配置 文件 。 其 中 ， 
InputFileName 表示 需要 采 n 日 志文 件 路 径 , 使 用 包 代 表 使 用 UDP 协议 “172. 16. 8. 
60” 代 表 日 志 接 收 端 的 IP 地 址 ,实验 的 日 志 接 收 问 即 为 日 志 审 计 与 分 析 系 统 ,514 表示 日 
志文 件 的 接收 端口 ,如 图 4-44 所 示 


SModLoad imfile 
$lInputFilePollInterual 18 
SMorkDirectory ^/var^spool^rsyslog 
SPriuDropToGroup adm 


SlInputFileTag apache- access? 
SInputFileStateFile stat-apache-access 
$lInputFileSeuerity info 
SlInputFilePersistStateInterual 25888 
$InputhRunFilehonitor 


InputFileMame |^var/log^httpd^error log 
SInputFileTag apache-error: 
$InputFileStateFile stat-apache-error 
SInputFileSeueritu info 
SInputFilePersistStateInterval 25H88 
2InputRunFileMonitor 


Stemplate BiglogFormatüpache," zmsqgz*n" . 

if Sprogramname == 'apache-access' then|09172.16.8.68:514]BiglogFormatüpache 
if Sprogramname == 'apache-aceess' they 

if Sprogramname == 'apache-error' then|8172. :BB.60:514:BigloogFormatAipache 
if Sprogramname == 'apache-error' then 


图 4-44 编辑 子 配 置 文件 


(41) f£ Esc 键 ,输入 命令 wq ,保存 并 退出 ,如 图 4-45 所 示 。 


SModLoad imfile 
SInputFilePollInterval 1H 
SWMorkDirectory ^var^zspool^rsuslog 
SPriuDropGroup adm 


SInputFileName ^/var^zlog^/httpd^/access log 
SInputFileTag apache-access: 
SInputFileStateFile stat-apache-access 
SInputFileSeueritu info 
SlnputFilePersistStateInterual 25HBB 
$lInputRunFileMonitor 


SInputFileMame ^/var/log^7httpd^error log 
$lInputFileTag apache-error: 
SInputFileStateFile stat-apache-error 
SInputFileSeueritu info 
SInputFilePersistStateInterual 25HBHB 
SInputRunFileMonitor 


Stemplate BiglogFormatfpache, 4msqz*n'" 

if Sprogramme 'apache-access' then 8172.16.8.68:514:Big logFormatfüpache 
if Sprogramme 'apache-access' then ^" 

if programme 'apache-error' then 8172.16.8.68:514;BiglogFormatüpache 
if SProgramme == 'apache-error' then ~ 


图 4-45 保存 并 退出 文件 


(42) 输入 命令 "service rsyslog start”, 司 动 rsyslog 服务 ,如 图 4-46 所 示 。 


Lroottroot httpdlü $3ervice rsuslog start 


Starting system logger: 
[root@root httpdlH — 


图 4-46 重 局 rsyslog 服务 
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ES 第 4 章 系统 日 志 采 集 配置 mm 


【实验 预期 
(1) 单 击 “ 资 产 ”>“ 资 产 日 志 ”, 可 查看 Apache 应 用 所 在 系统 的 IP 对 应 的 资产 日 志 


管 Pi 信息 o 


(2) TE H BEX m Apache RA LE, AKKE Has HOLT 3 4: Pr AR SEI I IP U SR 
件 ” 一 实时 监视 "一 "接收 的 外 部 事件 "可 以 接收 到 该 日 志 信息 。 


【实验 结果 了 


(1) 在 日 志 审 计 与 分 析 系 统 主 界面 中 单 击 “资产 ”>“ 资 产 日 志 ”, 接 着 单 击 “刷新 " 按 
钮 ,可 看 到 Apache 应 用 所 在 系统 的 IP 对 应 的 资产 日 志和 管理 信息 ,如 图 4-47 所 示 。 


Cri Alt Delete 


ep x: [e Bing 


g bE b op Etat g| 网 而 快讯 库 


(E) secFoxwLA5 日 南 收 革 与 分 析 系 统 AET | fc E)-0c omo Zip sii 工具 ID) 

I5 SecFax-LAS í— 
: fin € mt ban Dys Cmm Ami CU RES 

2 © 资产 BNBEDE > A ATER 

£ eem Wrth Berak Bin mem | M psp 

ga sug Bett giis detis — Eia 接收 类 型 


FJ 172.16.8.30 EET 2018-04-20 20:38:45 syslog 


PUCHx 


图 4-47 查看 Apache 日 志 管 理 信息 


(2) 选中 Apache 应 用 所 在 系统 的 IP 对 应 的 质 产 日 志 管 理 信 息 , 单 击 “ 人 允许 接收 ? 按 
钮 ,使 日 志 审 计 与 分 析 系 统 及 时 接收 Apache 的 日 志 信 息 , 如 图 4-48 所 示 。 


全 SecFox-LAS 日 志 收 集 与 务 析 圣 统 -北京 网 第 职业 学 院 - Windows Interne 
"ch 


Xr ok | s ppm Y E) 网 页 快讯 库 Y 
(B SecFox-LAS 日 志 收集 与 分 析 系统 -北京 网 络 职业 | | 


| SecFox- 
IG. SecFox-LAS 

+ fiim Ear d Aau Tik ORAR 并 系统 FRADE 
资产 O : i E 
PE 资产 对 象 CO UIT Dinask COSMAS KA 次 配置 告警 间隔 
9g 资产 属性 | 允许 接收 | ”资产 地 址 接收 状态 
[国资 产 日 志 E 172.16.8.30 局 Eee 


资产 日 志 
习 资产 日 志 


图 4-48 单 击 “ 人 允许 接收 ? 


(3)“ 接 收 状态 ?转变 为 “允许 接收 2 ,如 图 4-49 所 示 。 
(4) 返回 PC 服务 天 ,打开 Linux 系统 ,如 图 4-50 所 示 。 
(5) 输入 命令 "service httpd stop". f£ IE Apache 服务 ,如 图 4-51 所 示 。 
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s BuU B)HNE = 


- $ BRFOXLAS 


-全 十 EP; Agy han Mek Cm ASA TAROS O 


F zs UTC HAS ^ 资产 日 去 管理 

ESE ITEM herek | BRER ， 

PERA i ehdi HERE A Ai] inm 
172.16.8.30 5m ni 2018-04-20 20:38:45 5 3 = (EESERN) 


图 4-49 ”接收 状态 被 修改 


GE1: 10.70.25.22/24 ned GE2: 172.16.8.60/24 


管理 机 : 10.70.25.22/24 PC. 172.16.8.30/24 
(以 实际 IP 地 址 为 准 ) 


4-50 打开 Linux 系统 


[rootüroot Mp 


图 4-51 停止 Apache 服务 


(6) 在 日 志 审 计 与 分 析 系 统 主 界面 中 单 击 “ 事 件 ? 一 “实时 监视 ”一 “接收 的 外 部 事 
件 ”, 查 看 IP 地 址 为 “172. 16. 8. 30” 中 服务 停止 的 日 志 信 息 , 如 图 4-52 所 示 。 


I5 5, SecFox-LAS ! ! 
a | han = MOD ON AAR 系统 日 志 


^ D EH o> aman > 接收 的 外 部 地 怕 
Ea EE 


L Banen disc QuES EGER dcn. ASe qx ER Grir AmI | DEARA | Eii v 
i SER i 
miei 


Feen 接收 时 间 ERAR ESL dh 1 事件 志 称 


EN hir 04-20 20:53:05 172.16.B.30 


Io RTE 04-20 20:52:56 172.16.B.30 JFE 
G- EERE 


04-20 20:52:56 172.16.B.30 ESI 
Ed- [73 tiic] E 
— *NSUHEH:OOD EEG 
a rU 0 
172.16.86.30 


Ins m 
10.70.25. L 


回 
C Cm Ca Ch- Dh Ca I| d 04-20 20:52:56 172.15.68.20 [FEE 
n [Fi ES 
= 


l= ==== = = 


[Fri Apr : 20 20:53:05 TIE T caught SIGTERM, shutting down 


RESA: 2018 年 04 有 20 昌 20:53:20 


图 4-52 查看 日 志 信 息 


【实验 思考 】 
如 何 收 集 Ubuntu 系统 中 Apache 应 用 的 日 志 信 息 ? 


第 4 章 系统 日 志 采 集 配置 
4.3 志 审 Vr 与 分 析 系统 安全 设备 日 志 采 集 买 验 


【实验 目的 了 

日 志 审计 与 分 析 系统 具有 日 志 解 析 功能 ,本 实验 完成 防火 墙 日 志 的 采集 
【知识 点 了 

日 志 采 集 网 关 。 

【实验 场景 

A 公司 的 日 志 审 计 与 分 析 系统 由 安全 运 维 工程 师 小 王 负责 运 维 , 近 期 公司 上 线 了 一 
台 防 火 墙 ,公司 要 求 将 防火 墙 的 日 志 发 送 到 日 志 审计 与 分 析 系 统 中 。 请 思考 应 如 何 实现 。 
【实验 原理 】 


日 志 审 计 与 分 析 系 统 具 有 日 志 采 和 集 功 能 ,在 防火 墙 中 将 日 志 服 务 颖 设置 为 日 志 审 计 
与 分 析 系 统 , 这 样 防 火 墙 的 登录 日 志 、 内 容 日 志 、URL 过 滤 日 志 等 都 会 发 送 到 日 志 审 计 与 
4] Mr 3& Sic ,管理 员 用 户 可 以 依次 单 击 “事件 ”实时 监视 ?接收 的 外 部 事件 ”, 查 看 收 到 
的 日 志 事 件 。 


【实验 设备 】 
。 安 全 设备 : 日 志 审 计 与 分 析 设备 1 台 , 防 火 墙 设备 1 台 。 
【实验 拓扑 】 


日 志 审 计 与 分 析 系 统 安全 设备 日 志 采 集 实 验 拓扑 图 如 图 4-53 所 示 。 


GE3: 172.16.8.2 GE2: 172.16.8.60 


GEI: 10.70.25.88 


GEI: 10.0.0.1 


WXPHeHIBL: 10.0.0.44/24 管理 机 : 10.70.25.22/24 
(以 实际 IP 地 址 为 准 ) 


图 4-53 日 志 审 计 与 分 析 系 统 安全 设备 日 志 采 集 实验 拓扑 图 
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【实验 思路 】 


(OD 配置 日 志平 台 网 络 接口 。 

(2) 配置 防火 墙 平 台 网 络 接口 。 

(3) 为 防火 墙 平 台 添 加 日 志 服 务 般 。 

(4) 在 日 志 审 计 与 分 析 系 统 中 查看 防火 墙 日 志 。 


【实验 步骤 】 


(1) 在 管理 机 端 单 击 Xshell 图 标 ,打开 Xshell。 

(2) 在 会 话 框 中 单 击 新建? 按钮 ,创建 新 的 会 话 。 

(3) 在 “主机 ” 栏 中 输入 日 志 审 计 与 分 析 系 统 GEI 接口 的 IP 地 址 “10.70. 25. 88”( 以 
实际 IP 地 址 为 准 ) ,其 他 设置 保持 不 变 , 单 击 “ 确 定 ” 按 钮 。 

(4) 新 建 的 会 话 会 在 “所 有 会 话 ” 中 显示 ,选中 “新 建 会 话 ”, 单 击 “ 连 接 ” 按 钮 。 

(5) 单 击 “ 一 次 性 接受 ”按钮 。 

(6) 在 “请 输入 登录 的 用 户 名 ”一 栏 中 输入 用 户 名 admin, 单 击 “ 确 定 ” 按 钮 。 

(7) 在 “密码 ” 栏 中 输入 密码 “@1fw 间 2soc$ 3vpn”, 单 击 “ 确 定 ” 按 钮 。 

(8) 成 功 登录 日 志 审 计 与 分 析 系 统 后 台 。 

(9) 输入 命令 “secfox -e ethl -p 172. 16. 8. 60 -m 255. 255. 255. 0”, 设 置 日 志 审 计 与 
分 析 系 统 GE2 接口 的 IP 地址 。 其 中 “172. 16. 8. 60” 是 GE2 口 的 I 地 址 ,“255. 255. 255.0" 
是 GE2 HAJT RIHI., tè Enter 键 , 出 现 “modify ip ...” 说 明 接 口 信息 配置 成 功 。 

do) 打开 浏览 部 ,在 地 址 栏 中 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “https:/ /10. 70. 25. 88" 
(以 实际 IP 地 址 为 准 ) , 单 击 "继续 浏览 此 网 站 ”, 打 开平 台 登 录 界 面 。 

(OD 输入 管理 员 用 户 名 /密码 “admin/y1lfwQw2soc 3vpn" , FR il; XR oe" TE EIL. XR ox H 
志 审 计 与 分 析 系 统 。 

(12) 系统 设置 的 密码 有 效 期 为 7 天 , 当 登 录 系 统 后 收 到 更 改 密码 提示 时 , 单 击 “ 确 
定 ” 按 钮 更 改 系统 密码 。 

(13) 在 "原始 密码 ”一 栏 输入 原始 密码 ”11fwg2soc 井 3vpn”。 在 “新 密码 ?一 栏 输入 
"I1fw(22soc # 3vpn”, 与 原始 密码 相同 。 在 “确认 新 密码 ”一 柱 输 入 “11fw(@ 2soc # 
3vpn”, 单 击 “ 确 定 ” 按 钮 。 

(14) 单 击 浏览 器 中 的 “工具 ”一 “兼容 性 视图 设置 ”。 

(15) 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “https://10.70.25.88”( 以 实际 IP 地 址 为 
准 ) , 单 击 “ 添 加 ”按钮 ,添加 网 站 兼容 性 视图 。 

(160 单 击 “关闭 ”按钮 ,退出 设置 。 

(17) 进入 日 志 审 计 与 分 析 系 统 后 , 单 击 “系统 ”>“ 系 统 维 护 ”, 可 看 到 系统 “IP 地 址 配 
置 1” 为 “172. 16. 8. 60”。 

(18) 将 管理 机 时 间 与 日 志 审 计 与 分 析 系 统 时 间 统 一 。 在 日 志 审 计 与 分 析 系 统 中 , 单 
击 “ 系 统 ”>“ 系 统 维护 ”, 接 着 单 击 “时 间 校 对 设置 ” 框 中 的 “手动 校 时 ”选项 。 

(19) 单 击 “时 间 ” 一 栏 的 钟表 图 案 。 
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(20) 选择 与 管理 机 统一 的 时 间 。 

(21) Ha BE mS ER iR h AER. 

(22) 单 击 “修改 时 间 ”, 完 成 日 志 审 计 与 分 析 系 统 时 间 的 手动 修改 ， 

(23) 修改 成 功 后 ,系统 会 跳 转 至 登录 界面 ,重新 输入 用 户 名 /密码 “admin/!11fwG@ 
2soc 井 3vpn”, 登 录 日 志 审 计 与 分 析 系 统 。 

(24) 重新 登录 后 ,查看 系统 界面 右 下 方 的 时 间 ,与 管理 机 时 间 相 同 。 

(25) 在 管理 机 中 打开 浏览 硕 , 在 地 址 栏 中 输入 防火 墙 的 IP 地 址 “https:/ /10. 0. 0. 1". 
进入 防火 场 的 登录 界面 ,输入 管理 员 用 户 名 admin 4E I3" ! 1£$w(22soc € 3vpn" . X8 5k [jj 
火 墙 。 登 录 界 面 如 图 4-54 所 示 。 


图 4-54 防火墙 登录 界面 


(26) 用 户 使 用 上 默认 密码 登录 防火 墙 时 ,为 提 融 防火 墙 系统 的 安全 性 ,防火 墙 系 统 会 
提示 用 户 修 改 初 娘 密码 ,本 实验 不 需要 修改 默认 密码 , 单 击 “取消 ”按钮 ,如 图 4-55 所 示 。 


修改 管理 员 密码 


4-55 ”修改 初始 密码 界面 


(27) 登录 防火 墙 设备 后 ,显示 防火 载 的 面板 界面 ,如 图 4-56 所 示 。 
(28) 首先 将 防火 墙 平台 的 系统 时 间 与 管理 机 的 时 间 进 行 统 一 (以 实际 时 间 为 准 ), 单 
击 “ 系 统 设 置 ”, 进 行 时 间 调 整 , 如 图 4-57 所 示 。 
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xig War Sof 


s 8 Ci 外 于 中 心 TEM Poi da 


内 存 惠 用 率 


图 4-56 防火墙 面 板 界面 


处 甫 中心 IRALE: EE Hi PARLE 


竺 沉 时 间 
时 间 2018-01-24 18:47:25 


£i ”认证 用 户 
时 区 GMT 8 


SR 2 " 
D WES | 
| RE 


Cl PARN 


图 4-57 人 防火墙 系统 设置 
(29) 根据 管理 机 的 时 间 对 系统 时 间 进 行 调整 ,确定 修改 时 间 后 单 击 “ 确 认 ?” 按 钮 ,如 
图 4-58 所 示 。 


系统 时 间 2018-01-24 18:50:33 GMT+8 与 本 机 同步 
时 间 2018-01-22 16:13:25 
时 区 20185 - >| 4|01H 9 P 


DNS 


首选 DNS 慑 务 器 


a g 10 


16:13:25 | 清空 | 今天 | 确认 | 
图 4-58 防火墙 时 间 调 整 


备 选 DNS 服务 骼 


备 选 DNS 服务 癸 
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(30) 配置 网 络 接口 。 单 击 面板 上 方 导 航 栏 中 的 “网 络 配置 ”接口 ” ,显示 当前 接口 
列表 , 单 击 GE3 右 侧 “操作 ”中 的 笔 型 标志 ,编辑 GE3 接口 设置 ,如 图 4-59 所 示 。 


| +m- || Ds || Cms | 


工作 模式 TEARS 


"8 
d 


10.0.0.1/255.255 255 f 
Big 182.168.3,50/255,.235,.0.0 
jaz] 5 


lt 


aT E fen l:n 


110.859.710. 53.255. 
Tears z d et fefe d: hab? fb. 


fesriz2 1531 :5feediba&t/D4 
lez 215:31:5 feed: baia Ed 
1.1.1.1/235 253.2551) 
Ieanz2 15:31! 5f e 1:52 


ARDE Œ 


E gms m gs m 


TE! 


4-59 编辑 GE3 接口 


(31) 在 弹出 的 “编辑 物理 接口 ”界面 中 ,GE3 是 模拟 连接 内 网 的 接口 ,因此 “安全 域 ” 
设置 为 any,“ 工 作 模式 ”选中 “路 由 模式 ” 单 选 按钮 ,在 “本 地 地 址 列表 ”中 的 IPv4 标签 栏 
中 , 单 击 “ 十 添加 ”按钮 ,如 图 4-60 所 示 。 


"Iz: 
GE3 
00:16:31:e1:62:68 


00:00:00:10:03:00 — 


4-60 ”编辑 GE3 接口 


(32) 在 弹出 的 “添加 IPv4 本 地 地 址 ?界面 中 ,在 “本 地 地 址 ?中 输入 GE3 对 应 的 IP 地 
址 “172. 16. 8. 2”, 此 处 注意 与 日 志 审 计 与 分 析 系 统 的 GE2 对 应 的 IP 地 址 应 处 于 同一 网 
段 ,“ 子 网 掩 码 ” 输 入 “255. 255. 255.0”,“ 类 型 ”设置 为 float, 如 图 4-61 所 示 。 


添加 1Pv4 本 地 地 址 


本 地 地 址 “| 172.16.8.2 
子 网 掩 码 ”| 255.255.255.0 


zm float. 


4-61 输入 GE3 对 应 IP 地 址 


(33) 单 击 “确定 ”按钮 ,返回 “编辑 物理 接口 ?界面 ,确认 GE3 接口 信息 是 否 无 误 , 如 
图 4-62 所 示 。 
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00:16:31:e1:6a:68 


00:00:00:10:03:00 


| | 172.16.82 255.255.255.0 


4-62 ”确认 GE3 接口 信息 


(34) 接 下 来 配置 日 志 服 务 肯 , 单 击 “系统 配置 ”一 “日志 配置 ”, 如 图 4-63 所 示 。 


面板 分 析 中 心 数据 中 心 RIRAL PESE HII ITI PTN 


Exin 
2017-12-20 17:22:18 


GMT+8 
Si 计 证 上 服务 右 

确定 | | më 
ci Fan , k 


"Nm DNS 
Co ES 


EHEDNSEeSER 114.114.114.114 
和 过 DNS 服务 器 8.8.8.8 
EHEDNSERIER 


图 4-63 进入 日 志 配 置 


(35) 在 ”日志 配置 "界面 单 击 “ 添 加 ?按钮 ,为 防火 场 平 人 台 淮 加 日 志 服 务 豆 ,如 图 4-64 
Bra. 
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日 志清 除 


图 4-64 添加 日 志 服 务 器 
(36) 在 “服务 硕 名 称 ” 中 输入 “日 志 审 计 与 分 析 系 统 ” “服务 部 地 址 ?根据 日 志 审 计 与 
分 析 系 统 的 GE2 O IP 输入 ,本 实验 输入 “172. 16. 8. 60”, 协 议 设置 为 UDP ,端口 输入 
514 ,配置 完 信息 后 , 单 击 “ 确 定 ” 按 钮 ,如 图 4-65 所 示 。 


漆 加 服务 器 


服务 器 名 称 | 日 志 审计 与 分 析 系统 
服务 器 地 址 。 | 172.16.8.60| 
UDP 


ED |514 


图 4-65 ”编辑 日 志 服 务 器 信息 


(37) 添加 日 志 服 务 旨 后 ,进入 “日 志 外 发 ”界面 ,选择 服务 器 ,如 图 4-66 所 示 。 


服务 器 BEE 


toes © Xm 
HSH --HONE-- 


日 志 
ExHEEUERR 
THIER H 
FH 
LRLEF PERIERE E 
FESHENERR 

三 为 日 不 里 等 器 
EHETE iE 
FERHEGSEESER 
sxHEREEE 


$ Ei | 
5 S| si 


1 
i A - in 1 S UM 1 
| 和 二 
i 


=) 


图 4-66 日志 外 发 


(38) 为 了 方便 看 到 结果 ,在 “全 局 设置 条 件 ? 中 将 “服务 大 ?设置 为 “日 志 审 计 与 分 析 
系统 ”, 如 图 4-67 所 示 。 


全 局 设置 条 件 全 部 
RS | --NONE-- 
--NONE-- 


— EB T 
cce DELL Lies 
TESH E 


图 4-67 选择 日 志 外 发 服务 器 


(39) 选择 日 志 服 务 天 , 单 击 "确定 ?按钮 ,如 图 4-68 所 示 。 

(40) 系统 提示 执行 成 功 , 如 图 4-69 所 示 。 

(41) 接 下 来 为 保证 日 志 可 以 顺利 发 送 , 需 要 对 防火 墙 的 安全 策略 进行 配置 ,依次 单 
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图 4-68 确定 日 志 服 务 器 
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图 4-69 HEIA ds BC ELI 


策略 配置 ”>“ 安 全 策略 ”>“ 添 加 ”, 如 图 4-70 所 示 。 


处 关中 心 策略 配置 Xe 了 网络 配音 


图 4-70 配置 安全 策略 


(42) 在 “名 称 ” 中 输入 “全 通 
Brzn 。 
(43) 单 让 “确定 ”按钮 后 ,“ 全 通 策略 ”出 现在 安全 策略 列表 中 ,如 图 4-72 Bos. 


【实验 预期 】 


(D 在 日 志 审 计 与 分 析 系 统 中 可 以 看 到 防火 填 平 侣 发 过 来 的 日 志 。 
(2) 查看 日 志文 件 基本 信息 。 


次 略 ”, 其 他 设置 保存 默认 , 单 击 “ 确 定 "按钮 ,如 图 4-71 
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各 称 | simum * (1-63383) 


(0-127753) 


加 
e) 允许 ) 拒绝 O zaren) 
EE v 
| 请 迁 择 目的 安全 域 v| 
| 请 选择 源 用 户 
| SEEN GRADE 

请 选择 或 输入 目的 地 址 /地 区 | 

| 请 选择 服务 | 

请 选择 应 用 或 应 用 组 | 
MEET 
时 间 | 请 选择 时 间 


VLAN | 请 给 入 VLAN 
取信 范围 0-4094 , f&xt : 1.3,5-10,12) 


图 4-71 配置 全 通 策略 


[Bm ] Om) Tia | Ch wm | Cx ] 
poean 目前 去 主 域 


总 地址 /地 区 
an 


图 4-72 ”添加 全 通 策 略 成 功 


【实验 结果 】 


(1) 在 管理 机 中 打开 浏览 郑 , 在 地 址 栏 中 输入 日 志 审 计 与 分 析 产 品 的 IP 地 址 
“https://10. 70. 25. 88”( 以 实际 IP 地 址 为 准 ) ,打开 平台 登录 界面 。 使 用 管理 员 用 户 名 / 
2 lid admin/ !1f$w(22soc H 3vpn" X5 3k H s HET 53 2) TT R JC, 

(2) 在 管理 机 中 登录 日 志 审 计 与 分 析 系 统 平台 ,依次 单 击 “ 资 产 ”>“ 资 产 日 志 ”, 如 
图 4-73 所 示 。 


Ps 


I5 SecFox-LAS 


- 


同 报表 COR AZA TRAAT 


G Ca Cx Cb Ch- Ca Q, i 


cy 资 关 条 


图 4-73 进入 资产 日 志 界 面 


93 


日 志 审 计 与 分 析 实 验 指 导 ”ES 


(3) 选中 地 址 为 "172. 16. 8.2” 的 资产 , 单 击 “允许 接收 ”按钮 ,允许 接收 防火 墙 平台 日 


志 , 如 图 4-74 Bron. 


€ puc BB EB 
Seu Hae Me PRESS 


Art Gak liit ne ERST TRE 


quiim 
172.16.8.100 局 Sti 2017-12-18 13:47:25 [GBK — | (uses) 
172.156.8.2 PT 2017-12-18 16-14:57 s |SBK | ames 


4-74 成 功 接收 日 志 
(4) 再 依次 单 击 “ 事 件 ”>“ 实 时 监视 ”>“ 接 收 的 外 部 事件 ”, 如 图 4-75 Bron. 


1S SecFox-LAS 
:一 | 


事件 ^ © 事件 > 实时 监视 > 关联 
p 实时 监视 Et 
ETT 

D 事件 查询 

国 趋势 分 析 

THH 

Cy Cp Ca Ch- Ch C2 

C3 sens 

E I 窗 计 设备 

E-() 应 用 安全 

由 -站 协议 访问 


四 -站 主页 场 县 
由 -个 B 


28E- 77. 


图 4-75 ”查看 防火 墙 日 志 


(5) 查看 防火 墙 发 过 来 的 日 志 , 可 以 看 到 接收 的 防火 墙 相关 日 志 , 如 图 4-76 所 示 。 


t mo SSDESN > hih 
mxw | Met 


Dentar dl dame OARA doom dome gia [ume (ere Amme [Dxinem ize 


OOOO 


ID Dauptil 


iol 


60 [1 
CE E O F —H 
EPERE khi] FE Mi SHEER SPAO watit 
i 12-18 15:30:26 | 172.168,8.2 
Jh — 12-18 16:30:26 [— —31 172.106.8.2 
z 12-18 16:30:25 | 172.18,8,2 
ih — 12-18 10:30:20 [— — 1 172.106.8.2 
à 142-18 15:30:206 EEA 172.18,9.2 
5  212-18193026 | — 1] 172.15,8.2 
3$ 12-18 16:30:26 [— ] 172.165.8.2 
35 12-13 16:30:26 [— | 172.168.8.2 
35$ 12-18 16:30:26 [— ] 172.165.8.2 
i 12-18 16:30:26. 人 | 172.168.8.2 
Jh 12-18 16:30:26 [— — 1 172.106.8.2 
à 14-18 15:30:26 D— — 1 172.156.0.2 
Jh 12-18 16:30:26. [— —31 172.106.8.2 
4j 12-18 15:30:26 ŒA 172.15,9.2 
» 12-18 16:30:25 | | 172.168.8.2 
4$ 12-18 16:30-25 ŒŒ ] 172.165.8.2 
i 12-18 15:30:25 | 172.165.5.2 
45 12-18 i6: 3:26 [— ] 172 16.8.2 
i 12-18 15:30:25 | 172.168,8,2 


E] 12-12 16:30:28 [— l 172.165.8.2 


图 4-76 查看 防火 墙 日 志 


(6) 综 上 所 述 , 日 志 审 计 与 分 析 系 统 可 以 对 防火 墙 等 安全 设备 进行 日 志 收 集 。 


第 4 章 系统 日 志 采 集 配 置 


【实验 思考 】 
为 什么 配置 日 志 服 务 需 时 要 选择 UDP 协议 ? 


4.4 日 志 审 审计 与 分 析 系 统 数 据 库 Hs 记 米 集 集 实 验 


【实验 目的 】 

日 志 审 计 与 分 析 系 统 提供 日 志 收 集 功 能 ,本 实验 通过 更 新 Rsyslog 配置 文件 实现 
MySQL 数据 库 的 日 志 转 发 ,将 日 志 收 集 到 日 志 审 计 与 分 析 系 统 中 。 

【知识 点 了 

日 志 收 集 .数据库 、MySQL。 

[3:2725 2] 


A 会 司 的 日 志 审 计 与 分 析 系 统 由 安全 和 运 维 工程 师 小 王 管理 ,小 王 接 到 数据 库 运 维 小 
组 的 反馈 ,由 于 数据 库 的 日 志文 件 占用 了 本 地 太 多 的 磁盘 空间 , 且 可 读 性 较 差 。 数 据 库 运 
维 小 组 的 同事 希望 利用 日 志 审 计 与 分 析 系 统 来 监控 和 收集 数据 库 系统 了 折 产 生 的 日 志和 事 
件 。 请 思考 应 如 何 操 作 。 


【实验 原理 】 


日 志 审 计 与 分 析 系 统 文 持 通过 Syslog 网 络 协 议 采 和 集 网 络 中 各 种 设备 、 应 用 、 系 统 和 
数据 库 的 日 志 信 息 ,确保 用 户 能 够 收集 并 审计 必需 的 日 志 信 息 。MySQL 数据 库 中 最 常 
用 的 日 志 为 alert 日 志 , 它 记录 了 数据 库 局 动 和 关闭 、 数 据 库 结构 的 改变 、 回 退 段 的 修改 、 
死 锁 和 内 部 错误 等 信息 。 通 过 更 新 Rsyslog 配置 文件 ,可 将 MySQL 数据 库 的 日 志 信 息 
发 送 至 日 志 审 计 与 分 析 设 备 中 。 单 击 资产 ”> 资产 日 志 ”, 可 查看 对 应 的 资产 日 志 管 
信息 ,此 外 ,依次 单 击 "事件 ?一 ”实时 监视 ?一 ”接收 的 外 部 事件 ” ,可 查看 接收 到 的 数据 库 
的 日 志 信 息 。 


【实验 设备 】 


。 安全 设备 : 日 志 审 计 与 分 析 设 备 1 S 
。 主机 终端 : Linux 主机 1 S 


【实验 拓扑 】 
日 志 审 计 与 分 析 系 统 数据 库 日 志 采 集 实验 拓扑 图 如 图 4-77 所 示 。 
【实验 思路 】 


CD 在 管理 机 端 使 用 Xshell 进入 日 志 审 计 与 分 析 系 统 后 台 , 配 置 系统 路 由 信息 。 
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GE2: 172.16.8.60/24 2 
管理 机 :; 10.70.25.22/24 


(以 实际 IP 地 址 为 准 ) PC: 172.16.8.30/24 
图 4-77 日 志 审 计 与 分 析 系 统 数 据 库 日 志 采 集 实 验 拓扑 图 


(2) 以 管理 员 admin 用 户 的 号 份 登录 日 志 审 计 与 分 析 系 统 。 
(3) 登录 Linux 系统 ,配置 系统 便 件 地 址 。 

(4) 创建 MySQL 相关 的 Rsyslog 子 配置 文件 ,并 重启 服务 。 
(5) 查看 日 志 收 集 是 否 成 功 。 


【实验 步骤 】 


(1) 登录 管理 机 (Administrator/123456) ,双击 Xshell 快捷 方式 ,运行 Xshell JF. 

(2) 在 会 话 框 中 单 击 “ 新 建 ” 按 钮 ,创建 新 的 会 话 。 

(3) 在 “主机 ” 栏 中 输入 日 志 审 计 与 分 析 系 统 GEI 接口 的 IP 地 址 “10. 70. 25. 88”( 以 
实际 IP. Hb ib D EO ,其 他 设置 保持 不 变 , 单 击 “确定 ”按钮 。 

(4) 新 建 的 会 话 会 在 “所 有 会 话 ” 中 显示 ,选中 “新 建 会 话 ”, 单 击 “ 连 接 ” 按 钮 。 

(5) 单 击 “ 一 次 性 接受 ”按钮 。 

(6) 在 “请 输入 登录 的 用 户 名 ?一 栏 中 输入 用 户 名 admin FEE" We" TEHL, 

(7) TE" RH Rr d AC f" (O1 fw € 2soc $ 3vpn" , Haz" Bake" TE HL. 

(8) 成 功 登 录 日 志 审 计 与 分 析 系统 后 台 。 

(9) 输入 命令 “secfox -e ethl -p 172. 16. 8. 60 -m 255. 255. 255. 0" CEA Sc bs IP 地 址 为 
准 ) ,设置 日 志 审 计 与 分 析 系 统 GE2 接口 的 IP 地 址 。 其 中 ,“172. 16. 8. 60" € GE2 FH ff 
IP 地 址 ,“255. 255. 255.0” 是 GE2 口 的 子 网 掩 码 。 按 Enter 键 ,出现 “modify ip ..." i% Bj 
接口 信息 配置 成 功 。 

(10) 运行 正 浏 览 右 ,在 地 址 栏 中 输入 日 志 审 计 与 分 析 系统 的 IP 地 址 https://10. 
70. 25. 88”( 以 实际 IP 地 址 为 准 ), 单 击 “ 继 续 浏 贤 此 网 站 ”按钮 ,打开 平台 登录 界面 。 

(11) 输入 管理 员 有 用户 名 /密码 “admin/1lfw@2soc 井 3vpn”, 单 击 “ 登 录 ” 按 钮 ,登录 日 
志 审 计 与 分 析 系 统 。 

(12) 系统 设置 的 密码 有 效 期 为 7 天, 当 登录 系统 后 收 到 更 改 密码 提示 时 , 单 击 “ 确 
定 ” 按 钮 ,更改 系统 密 人 码 。 

(13) 在 “原始 密码 ”一 栏 输入 原始 密码 “11fw(@2soc#3vpn”。 在 “新 密码 ”一 栏 输入 
“11fw(@2soc#3vpn”, 与 原始 密码 相同 。 在 “确认 新 密码 ”一 位 输入 “11fw@2soc#3vpn”。 

dA) 单 击 浏览 右 中 的 "工具 "一 “兼容 性 视图 设置 ”。 

(150 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “https://10.70. 25. 88”( 以 实际 IP 地 址 为 
准 ) , 单 击 “添加 ”按钮 ,添加 网 站 兼容 性 视图 。 

(160 单 击 "关闭 ”按钮 ,退出 设置 。 
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(17) 进入 日 志 审 计 与 分 析 系 统 后 , 单 击 “ 系 统一 ”系统 维护 ” ,可 看 到 系统 ”"IP 地 址 配 
置 1 为 "172. 16. 8. 60”, 即 日 志 审 计 与 分 析 系 统 GE2 接口 的 IP 地址 。 

(18) 将 管理 机 时 间 与 日 志 审 计 与 分 析 系 统 时 间 统 一 。 在 日 志 审 计 与 分 析 系 统 中 , 单 
击 “ 系 统 ” 一 “系统 维护 ”, 接 着 单 击 "时间 校对 设置 ? 框 中 的 “手动 校 时 ?选项 。 

(19) 单 击 时间” 一 栏 的 钟表 网 案 。 

(20) 选择 与 管理 机 统一 的 时 间 。 

(21) 单 击 屏 和 希 空 日 处 ,退出 设置 。 

(22) 单 击 “修改 时 间 ”, 完 成 日 志 审 计 与 分 析 系 统 时 间 的 手动 修改 。 

(23) 修改 成 功 后 ,系统 会 跳 转 至 登录 界面 ,重新 输入 用 户 名 /密码 "admin/!1fw (9 
2so0c 8 3vpn" XE ok H zs HET 3 23 Pr REL. 

(24) 重新 登录 后 ,查看 系统 界面 右 下 方 的 时 间 ,与 管理 机 时 间 相 同 。 

(25) 登录 右 侧 数据 库 服务 器 ,如 图 4-78 所 示 。 


GEI: 10.70.25.88/24 GE2: 172.16.8.60/24 


管理 机 : 10.70.25.22/24 
— PC: 172.16.8.30/24 


图 4-78 打开 Linux 系统 


(26) 在 系统 登录 界面 选择 下 方 的 Other, 如 图 4-79 所 示 。 
(27) 在 Username 中 输入 用 户 名 root, 并 单 击 “Log In” 按 钮 ,如 图 4-80 所 示 。 


人 


4 
vá 


CentOS release 6.6 (Final) 


图 4-79 登录 数据 库 系 统 图 4-80 输入 用 户 和 名 


(28) 输入 登录 密 公 123456 ,并 单 击 ”Log In ”按钮 ,如 图 4-81 所 示 。 
(29) 查看 右上 角 显 示 的 系统 的 时 间 ,使 其 与 管理 机 时 间 傈 持 一 致 ,如 图 4-82 所 示 。 
(30) 系统 时 间 相 匹配 后 ,依次 单 击 左 上 方 的 Applications > System Tools 一 
Terminal ,运行 终端 程序 ,如 图 4-83 所 示 。 
(31) 在 终端 程序 中 输入 命令 “mkdir -v /var/spool/rsyslog". 创建 /var/spool/ 
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CentOS release 6.6 (Final) 


| Cancel | | Log In | 


图 4-81 输入 登录 密码 


Mon Jan 22, 16:33 


图 4-82 核对 系统 时 间 


s^ | Places system. Q & [7 
> 


EA Accessories 

2% Graphics 

@ Internet 

RD Sound & Video 

"s (6$) CD/DVD Creator 
@ Disk Usage Analyzer 
Qa Disk Utility 
[& File Browser 


[Efi] System Monitor 


图 4-83 ”运行 终端 程序 


rsyslog” 目 录 。 该 目录 为 MySQL 数据 库 对 应 的 Rsyslog 子 配 置 文件 的 工作 目录 ,如 图 4-84 
所 示 。 
rooti&alocalhost:- 


File Edit View Search Terminal Help 
[rootiélocalhost ~]#| mkdir -v /var/s 


mkdir: created directory /var/spool/rsyslog' 
[root@localhost ~]# J 


图 4-84 创建 目录 


(32) 输入 命令 “vi /etc/rsyslog. d/mysql-biglog. conf”, 新 建 Rsyslog 的 子 配置 文件 
"mysgl-biglog. conf”, 如 图 4-85 所 示 。 
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root&alocalhost:- 


File Edit View Search Terminal Help 


[rootiàlocalhost ~]# mkdir -v / var/spool/rsyslog 
kdir: created directory 
[root&localhost ~]# [vi /etc/rsys |! 


4-85 ”新 建 Rsyslog 子 配 置 文件 


(33) 按 Enter 键 ,进入 新 创建 的 文件 ,此 时 文件 内 容 为 空 , 如 图 4-86 所 示 。 


图 4-86 进入 子 配 置 文件 


(34) 按 1 键 ,进入 输入 模式 。 在 文件 中 输入 配置 信息 : 


$MpdLoad infile 
$InputHilePallInterval 3 

$ WürkDirectary /var/spoal/rsyslog 
$ PrivDropIoCroup adm 


$InputlileNane /var/log/nysql.log 
$InpitHleTae mysql. alert: 
$InputHileStateHle stat nwsql alert 


$tenplate BigloeFornmtM SQL." eA n" 

if $progranmane- = mysql. alert' then 917216 860514BigloeFarnmt M, SQL 

if $proerammne- = mysql. alert' then ~ 

将 日 志文 件 名 、 文 件 路 径 、 日 志 发 送 端 地 址 和 接口 等 信息 写 人 配置 文件 。 其 中 ， 
InputFileName 表示 需要 来 集 的 日 志文 件 路 径 , 使 用 @ 代 表 使 用 UDP 协议 “172. 16. 8. 
60” 代 表 日 志 接 收 端 的 IP 地 址 ,实验 的 日 志 接 收 问 即 为 日 志 审 计 与 分 析 系 统 ,514 表示 日 
志文 件 的 接收 端口 ,如 图 4-87 所 示 。 
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S) mysql-biglog.conf 3€ 

'$ModLoad imfile 
$InputFilePollInterval 3 
$WorkDirectory /var/spool/rsyslog 
$PrivDropToGroup adm 


$InputFileName|/var/log/mysql.Llog 


$InputFileTag mysql alert: 


$InputFileStateFile stat mysql alert 
$InputFileSeverity info 
$InputFilePersistStateInterval 25000 
$InputRunFileMonitor 


$template BiglogFormatmysql, "%msg%\n" 
if $programname == 'mysql alert' then[80172.16.8.68:514;BiglogFormatmysql 
if $programname == 'mysql alert' then ~ 


图 4-87 编辑 子 配置 文件 


(35) 按 Esc 键 ,关闭 编辑 模式 ,在 下 方 的 提示 框 中 输入 wgq, 标 识 写 入 文件 并 关闭 编 
辑 器 ,如 图 4-88 所 示 。 


E] root@localhost:~ 
File Edit View Search Terminal Help 


$ModLoad imfile 
$InputFilePollInterval 3 
$WorkDirector /var/spool/rsyslog 
$PrivDropToGroup adm 


$InputFileName /var/log/mysqLl.log 
$InputFileTag mysql alert 
$InputFileStateFile stat mysql alert 
$InputFileServerity info 
$InputFilePersistStateInterval 25000 
$InputRunFileMonitor 


$template BiglogFormatMySQL , "*:msg*sXn" 
if $programname--'mysql alert' then (172.16.8.60:514;BiglogFormatMySQL 
if $programname--'mysql alert' then - 


图 4-88 退出 编辑 状态 


(36) 返回 终端 程序 界面 后 ,再 输入 命令 "service rsyslog restart”, 重 局 Rsyslog 服务 . 
如 图 4-89 所 示 。 


rootilocalhost:- 
File Edit View Search Terminal Help 


[rootaàlocalhost ~]# mkdir -v /var/spool/rsyslog 
kdir: created directory  /var/spool/rsyslog' 
[root@localhost -]$ vi /etc/rsyslog.d/mysql-biglog.conf 


[root@localhost ~]# [service rsyslog restart 


Shutting down system Logger: 
Starting system logger: 
[rootGlocalhost -]4 J 


图 4-89 Hp Rsyslog 服务 
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【实验 预期 


(1) HR GE EET “资产 日 志 ”, 可 查看 MySQL 数据 库 所 在 系统 的 IP 对 应 的 资产 日 
志 管 理 信 息 。 

(2) 在 Linux 系统 中 局 动 MySQL 数据 库 , 依 次 单 击 日 记 审 计 与 分 析 系 统 的 “种 
件 ”=>“ 和 实时 监视 ”>“ 接 收 的 外 部 事件 ”, 可 以 接收 到 该 日 志 信 息 。 


【实验 结果 】 


CD 在 日 志 审 计 与 分 析 系 统 主 界面 中 单 击 资产 ”> “资产 日 记 ”, 接 看 单 击 “刷新 ” 按 
钮 ,可 以 查看 MySQL 数据 库 所 在 系统 的 IP 对 应 的 资产 日 志 管理 信息 ,如 图 4-90 所 示 。 


b r BE -了 SS 下 Bj Haea v 
8 SecFox-LAS HERES HARA AARRE. 0 


m zio € SUE HUeBESBEES 

TETTE Omne SESS hes H) S^gpSERIRER 

mu 次 产 必 性 mper j Vestro 3 EE FI 
HAAS 

3 EB 


图 4-90 查看 MySQL 日 志 管 理 信息 


(2) 选中 MySQL 数据 库 所 在 系统 的 IP 对 应 的 资产 日 志 管 理 信 息 , 单 击 “ 允 许 接 收 ” 
按钮 ,使 日 志 审 计 与 分 析 系 统 及 时 接收 MySQL 的 日 志 信 息 , 如 图 4-91 Bron, 


9 资产 > 资产 日 志 > 资产 日 志 管 理 

Ao fei esk (meg Eme mE 
资产 地 址 接收 状态 
172.16.8.30 EE 


图 4-91 单 击 “ 允 许 接 收 ” 
(3) 单 击 “ 刷 新 ”按钮 ,可 见 该 设备 的 “接收 状态 ”转变 为 “允许 接收 ”, 如 图 4-92 所 示 。 


a 


Dirèk Bie | 


资产 地 直 


[7] 172.16.8.30 


图 4-92 接收 状态 被 修改 


(4) 返回 “数据 库 服务 器 ”, 打 开 Linux 系统 ,如 图 4-93 Bron. 
(5) 在 终端 程序 中 继续 输入 命令 “service mysqld status”, 查 看 MySQL 服务 是 否 在 
运行 ,如 图 4-94 所 示 。 
(6) 显示 的 “mysqld is running” 表 明 MySQL 服务 运行 正常 ,再 输入 命令 “mysql] -u 
root -p”, 表 明 使 用 MySQL 的 root 账户 登录 ,如 图 4-95 所 示 。 
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GEI: 


管理 机 : 10.70.25.22/24 
(以 实际 忆 地 址 为 奴 ) PC: 172.16.8.30/24 


图 4-93 打开 Linux 系统 


rooti&localhost: - 


File Edit View Search Terminal Help 

[root@localhost ~]# mkdir -v /var/spool/rsyslog 

kdir: created directory /var/spool/rsyslog' 
[root@localhost ~]# vi /etc/rsyslog.d/mysql-biglog.conf 


[root@localhost ~]# service rsyslog restart 
hutting down system logger: 

tarting system logger: 

ysqld (pid 1583) 1s running... 
[root@localhost -]4 J 


图 4-94 查看 MySQL 运行 状态 


A root@localhost:~ 


File Edit View Search Terminal Help 


[root@localhost ~]# mkdir -v /var/spool/rsyslog 

mkdir: created directory '"/var/spool/rsyslog' 
[root&localhost -]& vi /etc/rsyslog.d/mysql-biglog.conf 
[rootaàlocalhost ~]# service rsyslog restart 

Shutting down system logger: 

Starting system logger: 

[root@localhost ~]# service mysqld status 

mysqld (pid 1583) is running... 

[root&localhost -]& 


Enter password: J 


图 4-95 登录 数据 库 


(7) 输入 密码 root, 显 示 数 据 流连 接 信息 ,并 显示 "mysql 一 ,表明 成功 连 接 数据 库 ， 


如 图 4-96 所 示 。 
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E] root@localhost:~ 
File Edit View Search Terminal Help 


[root@localhost ~]# mkdir -v /var/spool/rsyslog 

mkdir: created directory  /var/spool/rsyslog' 
[rootaàlocalhost -]& vi /etc/rsyslog.d/mysql-biglog.conf 
[root&ülocalhost ~]# service rsyslog restart 

Shutting down system logger: 

Starting system logger: 

[rootàlocalhost ~]# service mysqld status 

mysqld (pid 1583) is running... 

[rootiàlocalhost -]$ mysql -u root -p 

Enter password: 

Welcome to the MySQL monitor. Commands end with ; or ^g. 
Your MySQL connection id is 2 

Server version: 5.1.73-log Source distribution 


Copyright (c) 2800, 2813, Oracle and/or its affiliates. ALL rights reserved. 


Oracle is a registered trademark of Oracle Corporation and/or its 
affiliates. Other names may be trademarks of their respective 
owners. 


Type 'help;' or 'Xh' for help. Type '\c' to clear the current input statement. 


图 4-96 ”连接 数据 库 
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(8) 输入 命令 “show databases;”, 显 示 数 据 库 中 现 有 的 数据 库 列表 ,如 图 4-97 所 示 。 
+ 


| mysql E | 


3 rows in set (0.00 sec) 
mysql> f 
图 4-97 启动 数据 库 


(9) 在 日 志 审 计 与 分 析 系 统 主 界面 中 依次 单 击 “事件 ”>“ 实 时 监视 ”>“ 接 收 的 外 部 
事件 ”, 查 看 IP 地 址 为 "172. 16. 8. 30” 的 数据 库 查 询 的 日 志 信 息 , 如 图 4-98 Bron. 


dr mE | 5 图 建议 网 站 E) 网 页 快讯 库 Y 


| 全 secFox-LAS 日 志 收集 与 分 析 系 统 -北京 网 络 职业 .。 | | 


IS; SecFox-LAS 


C xl 区 规则 Srs Son Ran € mns 
O 事件 > 实时 监视 > 接收 的 外 部 事件 
属性 


T Barri ET DUE 国 选择 列 omt A Sigea pem qo Gsm | 国 左右 布局 
E 


a» 事件 查 词 
Eb EDI 
igcem? 接收 时 旧 m s 
CIEL IG dà 04-25 14:52:39 E— —] 172.16.8.30 IE SET 
Gy Cm Cx BA- Gi G 


H RTRA 


Ho 应 用 安全 
当前 每 秒 日 志 数 : 0.00 日 志 总 数 : 1 


G) MER BE SB... 


图 4-98 采集 到 日 志 信 息 


(10) 双击 该 日 志恒 上 县， 可 查看 该 日 志 晶 详细 信息 ,如 图 4-99 所 示 。 


系统 类 型 接收 时 间 等 级 。” 源 地 址 源 用 户 名 称 “目的 端口 设备 地 址 
A 04-25 14:52:39 [EL | 172.16.8.30 /未 知 设备 


当前 每 种 日 志 数 : 0.00 Er: 1 


SEA EE 
{10.70.25.88 

SecFox LAS 20171231 8891 

180425 14:54:02 2 Query show databases 


图 4-99 日 志 信 息 详 情 
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长 
a 


AD 日 志 审计 与 分 析 系统 实现 了 对 数据 库 服务 器 日 志 信息 的 采集 ,实验 完 
【实验 思考 】 
如 何 收 集 SQL Server 数据 库 的 日 志 信 息 


4.5 日 志 审 计 与 分 析 系 统 操 作 系 统 日 志 采 集 实验 


【实验 目的 了】 

日 志 审 计 与 分 析 系 统 提 供 日 志 收 集 功 能 ,本 实验 通过 修改 Rsyslog 服务 的 配置 文件 
完成 Linux 系统 的 日 志 转 发 ,实现 Linux 系统 的 日 志 收 集 。 

【知识 点 了 

HEME .操作 系统 、Linux。 

【实验 场景 】 

A 公司 的 日 志 审 计 与 分 析 设 备 由 安全 运 维 了 MN 负责 。A 公司 要 对 公司 内 部 
重要 的 Linux 系统 开展 安全 审计 工作 ,分 析 判 断 安 全 风险 , 据 此 调整 安全 宁 略 及 相关 配 
置 。 此 工作 的 开展 需要 Linux 系统 的 日 志 信 息 piii 因此 小 王 需 要 收集 Linux 系统 的 
日 志 人 信息。 请 思考 应 如 何 解决 这 个 问题 。 

【实验 原理 】 


日 志 审 计 与 分 析 系 统 文 持 通过 Syslog 网 络 协 以 采集 网 络 中 各 种 设备 、 应 用 和 系统 的 
1 志 , 确 保 用 户 能 够 收集 并 审计 必需 的 日 志 信 息 。Linux 系统 中 目 市 Rsyslog 服务 ,在 收 
init js [ri As, ER]. R Ee AC PRU E CAE » 8 Jn ELA RC Au HJ IP 地 址 及 端口 信息 即 可 ,配置 完成 
后 即 可 单 击 - —€—— 资产 日 志 ”, 查 看 到 对 应 的 资产 日 志 管 理 信 息 , 此 外 ,还 可 依次 单 击 
“事件 ”一 “ 实 时 监视 ”一 “接收 的 外 部 事件 ”, 查 看 接收 的 ey 
【实验 设备 】 


。 安全 设备 : 日 志 审 计 与 分 析 设 备 1 R. 
。 主机 终端 : Linux 主机 1 台 


【实验 拓扑 】 
志 审 计 与 分 析 系 统 操作 系统 日 志 采 集 实验 拓扑 图 如 图 4-100 所 示 。 
【实验 思路 】 


(1) 在 管理 机 端 使 用 Xshell 进入 日 志 审 计 与 分 析 系 统 后 台 ,配置 系统 路 由 信息 。 
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GEI: 10.70.25.88 GE2: 172.16.8.60/24 | 


管理 机 : 10.70.25.22/24 四 Redhat6.0: 172.16.8.25/24 
(以 实际 IP 地 址 为 准 ) 


4-100 日 志 审 计 与 分 析 系 统 操作 系统 日 志 采 集 实验 拓扑 图 


(2) 以 管理 员 admin 用 户 的 号 份 登录 日 志 审 计 与 分 析 系 统 。 
(3) 登录 Linux 系统 ,配置 系统 便 件 地 址 。 

(4) 修改 Rsyslog 配置 文件 并 重 局 服务 。 

(5) 查看 日 志 收 集 是 否 成 功 。 


(1) 在 管理 机 端 单 击 Xshell 图 标 ,打开 Xshell。 

(2) 在 会 话 框 中 单 击 “ 新 建 ”, 创 建新 的 会 话 。 

(3) 在 “主机 ” 栏 中 输入 日 志 审 计 与 分 析 系 统 GEI 接口 的 IP 地 址 10. 70. 25. 88”( 以 
实际 IP 地 址 为 准 ) ,其 他 设置 保持 不 变 , 单 击 “ 确 定 ” 按 钮 。 

(4) 新 建 的 会 话 会 在 “所 有 会 话 ” 中 显示 ,选中 “新 建 会 话 ”, 单 击 “ 连 接 ” 按 钮 。 

(5) 单 击 “一 次 性 接受 ”按钮 。 

(6) 在 “请 输入 登录 的 用 户 名 ”一 栏 中 输入 用 户 名 admin. dr" Wake" TEL. 

(7) 在 “密码 ” 栏 中 输入 密码 “@1fw#2soc$ 3vpn”, 单 击 “ 确 定 ” 按 钮 。 

(8) 成 功 登 录 日 志 审 计 与 分 析 系 统 后 人 台 。 

(9) 输入 命令 “secfox -e ethl -p 172. 16. 8. 60 -m 255. 255. 255. 0" ,设置 日 志 审 计 与 
分 析 系 统 GE2 接口 的 IP 地 址 。 其 中 ,“172. 16.8.60” Œ GE2 口 的 IP 地 址 ,“255. 255. 
255.0” 是 GE2 口 的 子 网 掩 码 。 按 Enter RE. H1 “modify ip ...”, 说 明 接 口 信息 配置 成 功 。 

do) 打开 浏览 器 ,在 地 址 栏 中 输入 日 志和 审计 与 分 析 系 统 的 IP 地 址 “https://10.70. 
25. 88”( 以 实际 IP 地 址 为 准 ), 单 击 “ 继 续 浏 览 此 网 站 ”按钮 ,打开 平台 登录 界面 。 

(OD 输入 管理 员 用 户 名 /密码 “admin/11fw@2soc#3vpn”, 单 击 “ 登 录 ” 按 钮 ,登录 日 
志 审 计 与 分 析 系 统 。 

(12) 系统 设置 的 密码 有 效 期 为 7 天 , 当 登 录 系 统 后 收 到 更 改 密码 提示 时 , 单 击 “ 确 
定 ” 按 钮 ,更改 系统 密码 。 

(13) 在 “原始 密码 ”一 栏 输入 原始 密码“11fw(@2soc#3vpn”。 在 “新 密码 ”一 栏 输 入 
" I1fw(22soc # 3vpn”, 与 原 妈 密码 相同 。 在 “确认 新 密码 ”一 栏 输入 “11fw(@ soc # 
3vpn”, 单 击 “ 确 定 ” 按 钮 。 

(14) 单 击 浏览 器 中 的 “工具 ”一 “兼容 性 视图 设置 ”， 

(15) 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “https://10.70.25.88”( 以 实际 IP 地 址 为 
准 ) , 单 击 “ 添 加 ”按钮 ,添加 网 站 兼容 性 视图 。 

(16) 单 击 “关闭 ”按钮 ,退出 设置 。 

(17) 进入 日 志 审 计 与 分 析 系 统 后 , 单 击 “ 系 统 ” 一 "系统 维护 ”, 可 看 到 系统 ”IP 地址 配 
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置 1 "为 "172.16. 8.60”, 即 日 志 审 计 与 分 析 系 统 GE2 接口 的 IP 地 址 。 

(18) 将 管理 机 时 间 与 日 志 审 计 与 分 析 系 统 时 间 统 一 。 在 日 志 审 计 与 分 析 系 统 中 , 单 
击 “ 系 统 ”>“ 系 统 维护 ”, 接 着 单 击 “ 时 间 校 对 设置 " 框 中 的 “手动 校 有 ”选项 。 

(19) 单 击 " 时 间 ” 一 栏 的 钟表 图 案 。 

(20) 选择 与 管理 机 统一 的 时 间 。 

(21) 单 击 屏保 空 日 处 ,退出 设置 。 

(22) 单 击 “ 修 改 时 间 ”， 完成 日 志 审 计 与 分 析 系 统 时 间 的 手动 修改 。 

(23) 修改 成 功 后 , 系统 会 跳 技 至 登录 界面 ,重新 输 和 用户 名 /密码 “admin/ ! 1fw (9 
2soc 井 3vpn”, 登 录 日 志 审 计 与 分 析 系 统 。 

(24) 重新 登录 后 ,查看 系统 界面 右 下 方 的 时 间 ,与 管理 机 时 间 相 同 。 

(25) 选择 Redhat6.0 ,打开 Linux 系统 ,如 图 4-101 所 示 。 


GEI: 10.70.25.88 P| | GE2: 172.16.8.60/24 


" - 机 3 aim od Redható6.0: 172.16.8.25/24 
ASK PRIPHEHE JE 


图 4-101 打开 Linux 系统 


(260 输入 用 户 名 /密码 “root/123456”, 登 录 Linux 系统 ,如 图 4-102 所 示 。 


Hed Hat Enterprise Linux Server release 6.8 (Santiago) 
kernel 2.6.32-?1.e16.x86. 64 on an x&86 654 


localhost login: root 

lassword : 

Last login: Thu fpr 12 18:39:12 on ttu1 
[root localhost ^ 1H 


4-102 ”登录 Linux 系统 


(27) 修改 Linux 系统 的 时 间 , 使 其 与 管理 机 时 间 保 持 一 致 。 输 入 命令 “date -s 04/ 
12/2018”( 以 实际 时 间 为 准 ) ,修改 系统 日 期 ,如 图 4-103 所 示 。 
[root@localhost -]8 date -s 1/12/2818 | 


hu ñpr 12 BB:BB:BB í 
[root localhost “lt — 


图 4-103 ”修改 Linux 系统 日 期 


(28) 输入 命令 “date -s 14:08:52”( 以 实际 时 间 为 准 ), 修 改 系 统 时 间 , 如 图 4-104 


p= 
La 

^ 

A! 


(29) 输入 命令 “clock -w”, 使 修改 生效 ,如 图 4-105 所 示 。 


m 


$4 系统 日 志 采 和 集 配 置 


[root@localhost "18 date -s 471272818 
hu fipr 12 88:88:82 —C S20 

[root8 localhost ": 

Thu fipr 12 14:88:5 


[rooti! localhost ~ 


4-104 修改 Linux 系统 时 间 


[root8 localhost 14 date -s 4/12z^7/2H108 
Thu fipr 12 BB:BB:BB CST z618 
lIroot? localhost ^] date -s 14:88:52 


图 4-105 ”修改 生效 
(30) 输入 命令 “date”, 查 看 修改 后 的 系统 时 间 ,与 管理 机 时 间 一 致 ,如 图 4-106 所 示 。 


root localhost 7) date 
[hu Apr 12 14:18:81 CST ZiB 
= J d > u 1] 


- 14:10 
Q ^ -Owaa 


2018/4/12 


图 4-106 查看 修改 后 系统 时 间 


(31) 输入 命令 “vi /etc/udev/rules. d/70-persistent-net. rules” ,修改 udev 中 的 规则 
脚本 ,使 MAC 地 址 与 网 卡 对 应 ,如 图 4-107 所 示 。 


Lroott loca lhos 


4-107 进入 规则 脚本 


(32) 按 i1 键 ,进入 输入 模式 。 记录 ethl 接口 的 人 硬件 地 址 ^“02 :db:2e:8e:20:c62( 以 实 
bx MAC 地 址 为 准 ) ,将 *NAME 王 eth1” 修 改 为 “NAME 王 eth0”, 如 图 4-108 所 示 。 


mm E Ls EFT - 


program, run bu the persistent-net-generator.rules rules file. 


-— 


You can modify it, as long as you keep each rule on a single 
line, and change only the value of the NAME= key. 


PCI device Hx8BHBB85:Hx1HBHe Ce1HBH) 


GSUBSYSTEM--" net", &ACTIOM--" add", DRIUERS-- £?—-—fATTR(addressi-F"82:db:Ze:8e:28B: 
bo" ATTRítupe3--"1", KERNEL--"eth*", NAME- 


图 4-108 ”修改 脚本 
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(33) 修改 后 结果 如 图 4-109 所 示 。 


t PCI device HxBHB6b:HxlHHe LelHHH)! 
SUBSYSTEM--"net'", ACTION=="add™”, DRI 


", f TTRítupe?--"1", KERNEL=="eth*=", 


图 4-109 ”修改 结果 


(34) 按 Esc 键 , 输 入 命令 “:wgq”, 保 和 存 并 退出 ,如 图 4-110 所 示 


pr 4A € e A A — Aul Er VR "LAC *X LP BRRd'"ULA 3e AL IS * A Lai | — EK AIL i ue LRL d | Hr en e E RA EFF L WA F Ua so PR A "eue o — U 


program, run by the persistent-ncet- gencrator. rules rules file. 


You can modify it, as long as you keep cach rule on a single 
line, and change only the value of the NAME= key. 


t PCI device BxaBB6:HxiHBHe CelHHH) 
SUBSYSTEM--" net", BCTIUNM--" add", DRIUERS--"77»", 
",; RTTRítupc)--"1", KERHEL--"eth«", MAME-"cthB8" 


ATTRíaddreszs)--"BZ:db:Ze:8e:ZHB'c 


:ug | 
图 4-110 保存 脚本 


(35) 输入 命令 “vi /etc/sysconfig/network-scripts/ifcfg-eth0”, 进 入 启动 脚本 文件 ， 
如 图 4-111 所 示 。 


Irooti/Iocalhost network scripts]# vi z^ctc^susconfigz^nctwork-scriptsz/ifcfqg-cthB — 


图 4-111 进入 启动 脚本 


(36) 按 i1 键 ,进入 输入 模式 ,如 图 4-112 所 示 。 


DEUICE-"ethB" 
JNBOOT= "ues" 
BÜOTPRÜTUÜ-dhcp 


INSERT -- 


图 4-112 进入 输入 模式 
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(37) 修改 脚本 文件 ,添加 如 下 信息 : 
HWADDR- "QZdb:22:8e:2006' (以 实际 MAC 地 址 为 准 ) 
NM. CUNIROLLED- "yes" 
IPADUDRZ "17216825" 
NEIMASE- "2552352350" 
H.rH,*02:db:2e:8e:20:0c6" Jg2E UE (32) "PH Linux 系统 ethl 接口 的 便 件 地 址 ,如 图 4-113 


所 示 。 


DEUICE-"ethB" 
1HADDR-" 82:db:2e:8e:28:c6" 
M CONTRÜLLED -"yes" 


INSEHT 


图 4-113 修改 硬件 地 址 


(38) TE Esc 键 ,输入 命令 “:wq”, 保 存 并 退出 ,如 图 4-114 所 示 。 


DEUICE-"ethB" 
HWADDRh-"82:db:ze:8e:zB:c6" 
4M COHTRÜLLED-" yes" 
J)HBOOT- "yes" 
IPADDh-"172.16.8.25" 
METHAáSR-"255.255.255.B" 


图 4-114 退出 并 保存 修改 


(39) 输入 命令 “reboot”, 和 重启 系统 ,如 图 4-115 所 示 。 
(40) 输入 命令 “ifconfig”, 查 看 Linux 系统 的 IP 地 址 ,如 图 4-116 所 示 。 
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[root localhost network-scriptslt reboot 


4-115 重启 系统 


ernel Z.65.3Z-/1.e16.x86 654 on an x86 654 


localhost login: root 
assword : 
Last login: dB on ttyl 
LrootB localhost g 
i : Waddr HZ:DB:ZE:BE:ZH:Cb 
= Bcast:172.16.8.255  Mask:255.255.255.H 

inetb addr: f'e8B: db: Zeff:fe8e:28c67/64 Scope:Link 

UP BROADCAST RUNNING MULTICAST  MTU:158H Metric:1 

HX packets:BH errors:H dropped:H overruns:H frame:B 
IX packets:14 errors:H dropped:H overruns:BH carrier:H 
collisions:BHB txqueuelen: 1HBH 
HX bytes:B (H.H b) TX bytes:8H4 (B8H4.H b) 


lo Link encap:Local Loopback 

inet addr:127.8.H.1 HMask:255.H.H.H 

inetb addr: ::17128 Scope:Host 

UP LUDPBACK RUNNING  MTU:16436  Metric:1 

HX packets:BH errors:H dropped:H overruns:H frame:B 
IX packets:H errors:H dropped:H ouerruns:H carrier:H 
| collisions:B txqueuelen:HB 
| HX bytes:B (H.H b) TX bytes:M (U.U b) 


Irooti! localhost 1i 


图 4-116 查看 Linux 系统 的 IP 地 址 


(41) 输入 命令 “vi /etc/rsyslog. conf”, 进 入 Rsys, 如 图 4-117 所 示 。 


[rootB@localhost ~]# vi /etc/rs slog. 


图 4-117 进入 配置 文件 


(42) 按 i 键 ,进入 输入 模式 ,如 图 4-118 Bron. 
Irsyuslog v3 config file 


if you experience problems, check 
http:^/^wwuw.rsuslog.com^troubleshoot for assistance 


HHHH MÜUDULES HEHH 


oModLoad imuxsock.so # provides support for local system logging (e.g. via lo 
gyger command)? 

)ModLoad imklog.so # provides kernel logging support (previously done bu rk 
logd) 

SModLoad immark .so # provides --MaáHk-- message capability 


t Provides UDP syslog reception 
#SModLoad imudp .so 
SUDPServerRun 514 


Provides TCP syslog reception 
$ModLoad imtcp.so 
$1InputTCPSeruerRun 514 


inu GLUBAL DIRECTIVES #HHH 


t- INSERT -- 


图 4-118 再 次 进入 输入 模式 


(43) 在 文件 未 添加 “*. * (0172.16. 8. 60” 其 中 ,“172. 16. 8. 60” 是 日 志 审 计 与 分 
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析 系 统 的 IP 地 址 ,如 图 4-119 所 示 。 


t Save boot messages also to boot.loq 
local/.* /^var^Z/lag^zboot.loq 


E HHH begin forwarding rule tii 

t The statement between the begin ... end define a SINGLE forwarding 

t rule. They belong together, do NUT split them. If uou create multiple 
t forwarding rules, duplicate the whole block? 
H 
Hl 
Hl 


Remote Logging (we use TCP for reliable delivery) 


An on-disk queue is created for this action. If the remote host is 
t doun, messages are spooled to disk and sent when it is up again. 
tSWorkDirectory ^7var^spppl^rsyuslog # where to place spool files 
tSáctionQueueFileNMame fwdRulel # unique name prefix for spool files 
tSáctionQueueMaxDiskSpace ig # igb space limit (use as much as possible?) 
tSáctionQueueSaveÜünShutdoun on # save messages to disk on shutdown 
tSáctionQueueTupe LinkedList # run asynchronous ly 
tSáctionResumeRetruCount -1 # infinite retries if host is down 
t remote host is: name/ip:port, e.g. 192.168.H.1:514, port optional 
E«.- Diremote-host:514 
HE ### end of the forwarding rule NW 


-- INSERT -- 


图 4-119 ”修改 Rsyslog 配置 文件 


(44) FÈ Esc 键 ,输入 命令 “;wq”, 保 存 并 退出 ,如 图 4-120 Bron. 


gave boot messages also to boot.loq 
local/.* /^var/log^zboot.1loqg 


i HH begin forwarding rule ### 

The statement between the begin ... end define a SINGLE forwarding 

: rule. They belong together, do NUT split them. If you create multiple 
forwarding rules, duplicate the whole block! 

Hemote Logging (we use TCP for reliable delivery) 


An on-disk queue is created for this action. If the remote host is 

down, messages are spooled to disk and sent when it is up again. 
$WorkDirectory ^var^spppl^rsuslog # where to place spool files 
SRctionQueueFileName fudRule1 # unique name prefix for spool files 
ShÓctionQueueMaxDiskSpace 1g # igb space limit (use as much as possible?) 
SR8ctionQueueSaveÜnShutdown on # save messages to disk on shutdoun 
SRctionQueueType LinkedList # run asynchronous ly 
SRctionResumeRetruCount -1 H infinite retries if host is down 

remote host is: name^z/ip:port, e.g. 192.168.8.1:514, port optional 
*,* [/linrnemaote-host:514 

HHH end of the forwarding rule iH 
*.« J172.16.8.6H 


图 4-120 退出 并 保存 Rsyslog 配置 文件 


(45) 输入 命令 "service rsyslog restart” ,重启 Rsyslog 服务 ,如 图 4-121 所 示 。 
| ^etc/rsuslog.conf 
[root localhost ~ 


图 4-121 重启 服务 
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【实验 预期 】 


(1) 单 击 “ 资 产 ”>“ 资 产 日 志 ”, 可 查看 到 Linux 系统 所 属 IP 的 资产 日 志 管 理 信息 。 
(2) 重启 Linux 系统 ,依次 单 击 日 志 审 计 与 分 析 系 统 主 界面 中 的 “事件 ”>“ 实 时 监 
视 ”>“ 接 收 的 外 部 事件 ”, 可 接收 到 日 志 信息 。 
【实验 结果 】 


CD 在 日 志 审 计 与 分 析 系 统 主 界面 中 单 击 “资产 ”一 “资产 日 志 ”, 接 大 单 击 “刷新 ” 按 
钮 ,如 图 4-122 所 示 。 


IS SecFox-LAS 


人 主页 € mee haau 站 报表 CER 发 系统 同系 统 日 志 


允许 接收 马 拒 的 接收 | , 影 剧 新 | .二 删除 交配 置 告 敬 间 隔 
Lu: 
172.16.3.30 
172.16.8.100 
172.16.8.1 
1/2.16.8.2 


4-122 刷新 资产 日 志 信 息 


F3 E» p p m 


(2) 刷新 后 ,可 以 查看 Linux 系统 IP 地 址 “172. 16. 8. 25” 的 资产 日 志 管 理 信 息 , 如 
图 4-123 所 示 , 


后 ， secFox-LAS 

" Üa EBosc| Ġer ban "mk Tem C TAROS 
E BEogKRBE-RABENN 
Bil Biin mE CA 


D kaiaia h Wr siti E— 0 AE Eal Bl 
EREET 2018-04-12 13:47:16 


172.16.8.25 2018-04-12 14:42:24 


图 4-123 查看 Linux 日 志 管 理 信 息 


(3) 选中 Linux 系统 IP 对 应 的 资产 日 志 管 理 信息 , 单 击 “允许 接收 ”按钮 ,使 日 志 
计 与 分 析 系 统 及 时 接收 Linux 系统 的 日 志 人 信息, 如 图 4-124 所 示 。 


"$ s SecFox-LAS 
Gm |S sa| Comm Dom Tra Tom Coin "V oxuBE 
^qe.EEBEomEHETÜ 
ti EE E Nu 
EE RHNEE- EZB 


ì72.16.8.100 5 fti 2018-04-12 13:47:16 
172.156.8.25 | 2018-04-17 14:42:24 


图 4-124 单 击 “ 允 许 接收 ” 


(4)“ 接 收 状 态 ” 转 变 为 “允许 接收 ”, 如 图 4-125 所 示 。 

(5) 选择 Redhat6.0, 打 开 Linux 系统 ,如 图 4-126 所 示 。 

(6) 输入 命令 “shutdown -r now”, 重 启 Linux 系统 ,如 图 4-127 所 示 。 

C) 在 日 志 审 计 与 分 析 系 统 主 界面 中 依次 单 击 * 事 件 ” 一 ”实时 监视 "一 ”接收 的 外 部 
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fam Bose Egy bhan C ek COMM Ux 本 RBot 
O Ni &R5ESERKPCHEEN 
5 $ Dpi x J ERAEN 


RM dem xii — 58H 8 
172.16.8.100 J aiet 2018-04-12 13:47:16 
172,.16.8.25 j sriti 2018-04-12 14:42:24 


: 172.16.8.60/24 


管理 机 : 10.70.25.22/24 Redhat6.0: 172.16.8.25/24 
(以 实际 IP 地 址 为 准 ) 


4-126 打开 Linux 系统 


[root@ loi 'alhos t ~]# shutdown -r nou 


4-127 重启 Linux 系统 


事件 ”, 查 看 IP 地 址 为 “172. 16. 8. 25” 的 日 志 信 息 ,如 图 4-128 所 示 。 


7$ SecFoxLAS | 
^: F Gsm Baum Cam ban "wk Tem xe TMAS 


Fä & C^ FH oh o HRE 


EIHAR AEM Eit 
4 3m mh ata dh uS HR d 
20 
D HFN - 
pz] aao 
Aun 04-12 14:54:09 | 172.16.8.25 REND 
C Cm Cx ON - CAL C 04-12 14:54:09 I ] 172.16.8.25 rini 
-3 实时 监视 
. mid 
Eae 

E- 协 这 请问 
E- 7 zEGR 
Egist 
E i 

j ar aR 

1 EESES 


图 4-128 查看 日 志 信 息 


【实验 思考 】 


(2) Windows 日 志 审 计 与 Linux as 了 E ? 


4.6 志 审 计 与 分 析 系 统 日 志 解 析 文 件 实验 


【实验 目的 】 


日 志 解 析 文 件 是 日 志 分 析 的 重要 部 分 ,日 志 审 计 与 分 析 系 统 利用 系统 内 的 日 志 解 析 
文件 ,对 接收 到 的 日 志文 件 进行 解析 ,分 析 日 志文 件 中 携 和 这 的 信息 。 
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【知识 点 了 】 
解析 文件 、 归 一 化 。 
【实验 场景 】 


A 公司 的 日 志 审 计 瑟 分 析 设 备 由 安全 运 维 工程 师 小 王 人 负责。 公司 需要 使 用 日 志和 定 
计 与 分 析 系 统 对 防火 墙 等 安全 设备 进行 日 志 的 审计 与 分 析 , 随 看 公司 业务 和 网 络 的 不 断 
扩大 ,日 记 审 计 与 分 析 系 统 所 文 持 的 安全 设备 种 类 越 来 越 多 ,收集 到 的 日 志 格 式 种 类 也 越 
来 越 多 ,在 处 理 日 志文 件 之 前 , 宕 要 将 多 种 类 型 的 日 志文 件 半 为 同一 种 格式 的 日 志文 件 ， 
也 就 是 对 日 志文 件 进行 归 一 化 处 理 。 请 思考 应 如 何 解 决 这 个 问题 。 


【实验 原理 】 


日 志 审 计 与 分 析 系 统 提供 日 志 解 析 功 能 ,在 司 用 相关 日 志 解 析 文 件 后 ,再 收 到 相关 日 
志 时 , 便 会 对 日 志 的 事件 性 质 、 设 备 类 型 等 属性 进行 解析 。 在 虚拟 机 中 使 用 UDPsender 
向 日 志 审 计 与 分 析 系 统 服务 器 发 送 防 火 墙 日 志 , 用 户 单 击 “ 系 统 ”>“ 日 志 解 析 文件 ”, 启 用 
日 志 解 析 文 件 , 然 后 可 以 查看 接收 的 防火 墙 日 志 已 经 解析 出 相关 属性 。 

【实验 设备 】 

。 安全 设备 : 日 志 审 计 与 分 析 设 备 1 人 台 。 

。 主机 终端 : Windows XP 主机 1 台 。 


【实验 拓扑 】 
日 志 审 计 与 分 析 系 统 日 志 解 析 文 件 实 验 拓扑 图 如 图 4-129 所 示 。 


GE2: 172.16.8.60 


管理 机 ;10.70.25.22/24 WXPHéUL: 172.16.8.100/24 
(以 实际 IP 地 址 为 准 ) 


4-129 日 志 审 计 与 分 析 系 统 日 志 解 析 文 件 实验 拓扑 图 


【实验 思路 】 


(OD 配置 日 志平 台 的 网 络 接口 。 

(2) 登录 WXP 虚拟 机 向 日 志 服 务 器 发 送 防火 墙 日 志 。 

(3) 以 管理 员 admin 用 户 的 号 份 登录 日 志 审 计 与 分 析 系 统 。 
(4) 启用 日 志 解 析 文 件 。 

(5) 查看 完成 解析 的 防火 墙 日 志文 件 。 
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(1) EE PR Lom; 5. i Xshell 图 标 , 打 开 Xshell, 

(2) 在 会 话 框 中 单 击 新建? 按钮 ,创建 新 的 会 话 。 

(3) 在 “主机 ? 栏 中 输入 日 志 审 计 与 分 析 系 统 GEI 接口 的 IP 地 址 “10. 70. 25. 88”( 以 
实际 IP 地 址 为 准 ) ,其 他 设置 保持 不 变 , 单 击 “ 确 定 ” 按 钮 。 

(4) 新 建 的 会 话 会 在 “所 有 会 话 ” 中 显示 ,选中 “新 建 会 话 ”, 单 击 “ 连 接 ” 按 钮 。 

(5) 单 击 “一 次 性 接受 ”按钮 。 

(6) 在 “请 输入 登录 的 用 户 名 ”一 位 中 输入 用 户 名 admin, $i mE” RH. 

(7) 在 “密码 ” 栏 中 输入 密码 “@1fw 划 2soc$ 3vpn”, 单 击 “ 确 定 ” 按 钮 。 

(8) 成 功 登 录 日 志 审 计 与 分 析 系 统 后 台 。 

(9) 输入 命令 “secfox -e ethl -p 172. 16. 8. 60 -m 255. 255. 255. 0”, 设置 日 志 审 计 与 
分 析 系 统 GE2 接口 的 IP 地 址 。 其 中 ,“172. 16. 8. 60" 3€ GE2 口 的 IP 地 址 ,“255. 255. 
255.0” 是 GE2 口 的 子 网 掩 码 。 按 Enter 键 ,出 现 “modify ip ...”, 说 明 接 口 信息 配置 成 功 。 

(10) 打开 浏览 器 ,在 地 址 栏 中 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “https://10. 70. 
25. 88”( 以 实际 IP 地 址 为 准 ), 单 击 “ 继 续 浏 览 此 网 站 ”按钮 ,打开 平台 登录 界面 。 

(OD 输入 管理 员 用 户 名 /密码 “admin/11fw(@@2soc#3vpn”, 单 击 “登录 ”, 登录 日 志 审 
计 与 分 析 系 统 。 

(12) 系统 设置 的 密码 有 效 期 为 7 天 , 当 登 录 系 统 后 收 到 更 改 密码 提示 时 , 单 击 “ 确 
定 ” 按 钮 ,更 改 系 统 密码 。 

(13) 在 “原始 密码 ”一 栏 输入 原始 密码 “11fw@2soc#3vpn”。 在 “新 密码 ”一 栏 输入 
"I1fw(22soc # 3vpn”, 与 原始 密码 相同 。 在 “确认 新 密码 ”一 柱 输 入 “11fw(@ 2soc # 
3vpn”;, 单 击 “ 确 定 ” 按 钮 。 

(14) 单 击 浏览 器 中 的 “工具 ”一 “兼容 性 视图 设置 ”。 

(15) 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “https://10.70.25. 88”, 单 击 “ 添 加 ”按钮 ， 
is JI Ped i 3e E PE LAT 

(160 单 击 "关闭 ?按钮 ,退出 设置 。 

(17) 进入 日 志 审 计 与 分 析 系 统 后 , 单 击 “ 系 统 ” 习 “系统 维护 ”, 可 看 到 系统 “IP 地 址 配 
置 1” 为 “172. 16. 8. 60”。 

(18) 将 管理 机 时 间 与 日 志 审 计 与 分 析 系 统 时 间 统 一 。 在 日 志 审 计 与 分 析 系 统 中 , 单 
击 “ 系 统 ” 一 “系统 维护 ”, 接 看 单 击 “ 时 间 校 对 设置 ” 框 中 的 “手动 校 时 ”选项 。 

(19) 单 击 * 时 间 ?” 一 栏 的 钟表 图 案 。 

(20) 选择 与 管理 机 统一 的 时 间 。 

(21) 单 击 屏 舌 空 日 处 ,退出 设置 。 

(22) 单 击 “修改 时 间 ”, 完 成 日 志 审 计 与 分 析 系 统 时 间 的 手动 修改 ， 

(23) 修改 成 功 后 ,系统 会 跳 转 至 登录 界面 ,重新 输入 用 户 名 /密码 "adminy 11lfw (9 
2soc 井 3vpn ”登录 日 志 审 计 与 分 析 系 统 。 

(24) 重新 登录 后 ,查看 系统 界面 右 下 方 的 时 间 ,与 管理 机 时 间 相 同 。 
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(25) 登录 实验 平台 ,打开 虚拟 机 WXPSP3, 对 应 实验 拓扑 中 的 右 侧 设备 ,如 图 4-130 
Bra. 


管理 机 : 10.70.25.22/24 
(以 实际 IP 地 址 为 准 ) WXPSP3 虚 所 机 : 172.16.8.100/24 


4-130 打开 虚拟 机 WXPSP3 


(26) 进入 虚拟 机 后 ,为 保证 日 志 审 计 与 分 析 系 统 收 到 的 日 志文 件 时 间 与 虚拟 机 时 间 
一 致 ,首先 查看 虚拟 机 的 系统 时 间 与 管理 机 的 系统 时 间 是 否 一 致 ,如 果 不 一 致 , 则 双击 虚 
拟 机 界面 右 下 和 角 的 时 间 进 行 调整 。 

(27) 根据 管理 机 时 间 对 虚拟 机 时 间 进 行 调整 (以 实际 时 间 为 准 ), 单 击 “ 确 定 ” 按 钮 。 

(28) 进入 虚拟 机 果 面 ,打开 果 面 上 的 “实验 工具 ”。 

(29) IRAE X [Fe UDPSender。 

(300 UDPsender 是 模拟 防火 增 日 志 发 送 的 工具 ,双击 图 标 “UDPsender. exe". 打开 
文件 夹 中 的 日 志 发 送 工具 。 

(31) 配置 日 志 发 送 的 相关 信息 协议 ”设置 为 Syslog， 方 式 ? 设 置 为 “ 按 速度 发 送 ”， 
“速度 "输入 5 ,然后 单 击 “初始 化 通信 ”。 

(32)“ 消 上 朋 来 源 ” 设 置 为 “从 文件 ”, 单 击 “...” 按 钮 ,选择 目标 日 志文 件 。 

(33) 在 查找 范围 中 的 “ 果 面 "进入 “实验 工具 ”目录 , 单 击 UDPSender 文件 夹 。 

(34) 进入 logfiles 进行 日 志文 件 选 择 ,本 实验 选择 “FW_LOG_DEOM. log”, H% ih 
Ei 

(35) 在 目标 端 设置 中 ,选中 序号 为 0 的 目标 , 单 击 “ 编 辑 ” 按 钮 。 

(360 将 “目的 IP 地 址 ?设置 为 ”日志 服务 融 的 IP 地 址 ”, 本 实验 设置 为 *172. 16. 8. 
60”, 端 口 设置 为 514。 

(37) 完成 设置 后 ,核对 信息 配置 是 否 正确 ,然后 单 击 “ 发 送 ” 按 钮 ，。 

(38) 完成 日 志 发 送 过 程 后 ,按照 步骤 (1), 在 管理 机 中 登录 日 志 审 计 与 分 析 系 统 平 
台 ARUCRART WOW 日 志 ”, 如 图 4-131 所 示 。 


EF Cp Cg Ch Di - GA 


c3 BEES 
I MAS 
mE 


图 4-131 进入 资产 日 志 界 面 
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(39) 选中 资产 地 址 ”172. 16. 8. 100”, 单 击 “ 允 许 接收 ”和 “启用 ”按钮 ,以 允许 日 志 
计 与 分 析 系 统 接收 日 志 , 并 司 用 "是 否 告警 ” ,如 图 4-132 所 示 。 


IS. SecFoxLAS 


O fam Ser Cmn ban Tes ÜCom Ant "ons 
L AE cHEeoHE:sBEpDpDemm 
5 DAN EMI PESE 
Ei 7b [E4 igr: — 5 BEEIIH 
172.16.8.1D0 2018-04-12 11:12:34 


图 4-132 EE 资产 日 志 


【实验 预期 】 


(1) 在 日 坊 审 讨 与 分 析 系 统 中 司 用 日 志 解 析 文 件 。 
(2) 查看 完成 解析 的 日 志文 件 。 
事件 


【实验 结果 了 Qama 
d 实时 分 析 
CD 在 管理 机 中 重新 登录 日 志 审 计 与 分 析 系 统 , 依 次 单 击 dy murmng 
“事件 ”>“ 实 时 监视 ”>“ 接 收 的 外 部 事件 ”, 如 图 4-133 所 示 。 | Besor 
(2) 可 以 在 “接收 的 外 部 事件 ”中 实时 查看 发 送 过 来 的 日 | w 
志 信息 ,如 图 4-134 所 示 。 — a 
(3) 登录 实验 平台 对 应 实验 拓扑 右 侧 的 WXP 虚拟 机 ,对 | so aca 
应 实验 拓扑 中 的 右 侧 设备 ,如 图 4-135 所 示 。 he 


(4) 在 虚拟 机 中 登录 日 志 审计 与 分 析 系 统 ,打开 虚拟 机 桌 | * 品 #5a 
面 的 火狐 浏览 器 ,如 图 4-136 所 示 。 he 

(5) 在 地 址 栏 中 输入 日 志 审 计 与 分 析 产 品 的 IP 地 址 n 
“https://172. 16.8. 60”( 以 实际 IP 地 址 为 准 ) ,打开 平台 登录 L 
界面 ,如 图 4-137 所 示 。 


(60 出 现 “ 您 的 连接 不 安全 ”, 单 击 “ 高 级 ”按钮 ,如 图 4-138 


图 4-133 接收 外 部 事件 


”全 页 Bm» Camn| han "Um DoR GBA TARBE 


”事件 > 立时 是 视 > 执 收 的 外 部 事 伸 
INHER Mit 


这 运行 控制" dh mW TRS daoi 着 E priam $ti Aant IESAB uj 


15 

O dnt ueri mun eit damus SRO Rith 
b 0d-12 11:1853 ŒI 174.15.8.100 
i 04-12 11:145 EE — ] 172.16.8.100 
] D O1211:1::53 Œ] Ira 10.86.100 
i | b 04-12 11:1453 I | 172.16.8.100 
| B 04-12 11:1853 EL ] 172.16.8.100 
| b 04-1211:1X51 I ] 172.16.8.100 
| 起 04-12 11:1851] IE | 172.16.8.100 
Li à —UF-I2111x51 C] 172.15.8.100 
i  O4.12121:1:551 C ] 172.16.8.100 
bo 04-12111331 E— —] 172.16.8.100 
] i  0O4L1211:1:550 E— — 1 172.16.8.100 
i  04-1211:11351 Ec 7] 172.16.8.100 


1 Lo na 013 377151 f 
当前 每 种 目 十 插 ; 4193 Bai: 150 


图 4-134 接收 日 志 成 功 
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mmm Hg 524 5:248 mn 


: 10.70.25.88 


管理 机 : 10.70.25.22/24 
(以 实际 IP 地 址 为 准 ) WXP 虚 拟 机 : 172.16.8.100/24 


图 4-135 进入 虚拟 机 WXP 


TFE RED EOD PEG ## 0m TRO) SBhün 


x + 
€| mMecvzmmiges  ] — v[$9]a&&*&* YA f 一 


A https: //172. 16. 8. 607 — 访问 


图 4-137 登录 日 志平 台 


(7) 在 “局 级 "设置 中 , 单 击 " 浴 加 例外 " 投 钮 ,如 图 4-139 所 示 。 
(8) 在 弹出 的 “添加 安全 例外 ”的 界面 , 单 击 “ 确 认 安 全 例外 ”按钮 ,如 图 4-140 所 示 。 
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XH) AAE EEM [nec Hm Im) PH 


您 的 连接 不 安全 


172. 16. 8. 60 的 管理 员 未 正确 配置 网 上 站。 为 避 志 您 的 信息 被 窗 ，Firefox 设 有 建立 与 访 网 站 的 连接 。 
详细 了 解 … 


TÉ 


报告 此 类 错误 以 艇 盈 Mozilla 识别 和 拦截 恶意 站 点 


图 4-138 浏览 器 设置 


172.16.8.60 使 用 了 无效 的 安全 证 书 ， 


该 证 书 因 为 其 自 签名 而 不 被 信任 。 
该 证 书 对 名 称 172. 16.8.60 zc. 


畏 误 代码 : SEC ERROR UNKNOWN ISSUER 


图 4-139 添加 安全 例外 


译 加 安全 例外 E 
, ' 您 将 指定 Firefox 如 何 来 标识 此 站 点 。 

4， 合法 的 银行 、 电 商 以 及 其 地 公共 站 点 个 会 要求 你 如 此 摊 作 。 
服务 器 
地 址 : 
证 书 状态 
此 站 点 尝试 使 用 无 效 的 信息 来 标识 自身 。 
错误 的 站 点 
证 书 属于 其 他 网 站 ， 有 可 能 是 某 人 起 要 协 装 成 此 网 站 。 
未 知 标 识 


因为 无 法 确认 此 证 书 是 由 受 依 任 的 发 行 机 构 以 安全 的 方式 签署， 所 以 无 法 信任 此 证 书 。 


tttps: /71T2. 16.6.60/ 


永久 保存 此 例外 证 ) 


图 4-140 确认 添加 安全 例外 
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(9) 添加 安全 例外 后 ,可 以 正常 登录 日 志 审计 与 分 析 系 统 平台 ,和 输入 用 户 名 密码 
"admin/ ! 1fw(22soc # 3vpn", 

(10) 系统 提示 需要 安装 “Adobe Flash Player" Ak 3:80 3E i43 , M d Op as fe. 
如 图 4-141 Brzn 。 


You need Adobe Flash Player 8 (or abowe) to view the charts. |t is a free and lightweight 
installation from Adobe.com. Please click on Ok to install the same. 


] L5] 


图 4-141 取消 安装 软件 


(11) 选择 “系统 ”命令 ,进入 “系统 ”模块 ,如 图 4-142 所 示 。 


IS SecFox-cLAS |. | 
4 Qin Far Comm hau Tak Dam T ARAE 


区 于 向 导 


日 志 采 集 说 明 


p 测试 人 员 


图 4-142 进入 系统 模块 
(12) 单 击 “ 日 志 解 析 文 件 ”, 进 行 日 志 人 解析 文件 的 导入 ,如 图 4-143 所 示 。 


系统 
Cg 系统 配置 

-X 服务 器 配置 

一 中 采集 参数 设置 

“ 国 事件 备份 归档 

wg 安装 Windows 日 志 传 感 器 


lj EEAS t 

e AD GoogleEarth EE 
pl 目 志 解析 文件 
EC 

T 工具 与 插件 下 载 
Oy 事件 归并 配置 


图 4-143 进入 日 志 解 析 文 件 


(13) 进入 “日 志 解 析 文 件 管 理 ” 界 面 , 单 击 “守信 ”一 “浏览 ”, 如 图 4-144 所 示 。 
(14) 选择 “桌面 ”中 的 “实验 工具 ”文件 来, 如 图 4-145 所 示 。 
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日 志和 解析 支 件 管 理 
省 导出 DEARA SFA PEt BAA 


"AHZWM ft 


WE HE SS ERABI BASE 4mliees&.x«mlim.zipxft) 


图 4-144 导入 日 志 解 析 文 件 


ERAMO: [Qan — 图 个 户 国 
.  dOsexe oO o 

显 我 的 电脑 

ORALAS 

B Mozilla Firefox 


EE: | 00 0 0 0 0 0 0 0 0 0 0 0 0 00 
文件 类 型 I): — | 所 有 文件 v 


图 4-145 ”选择 “实验 工具 ”文件 夹 


(15) “NSG 360WS. xml”, 单 击 “ 打 开 ” 按 钮 ,如 图 4-146 所 示 。 


Wo Legendsec 201T081T.xml 


文件 名 四 ab 
文件 类 型 [): — | 所 有 文件 " | 


图 4-146 选择 日 志 解 析 文 件 
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(160 选择 日 志文 件 后 , 单 击 “确定 ”按钮 ,如 图 4-147 所 示 。 


"m5 Hi5dg3eWmxitusg 
*£s tat 启用 SFA Dank Bms 


"ABS x fr 


文件 浏览 ,，| NSG_360WS.xml 


E LEE SE EPA B9 BERE LE i mie e S «mli.zipx fr) 


图 4-147 导入 日 志 解 析 文 件 


(17) 以 同样 的 方式 ,再 次 导入 存放 在 相同 路 径 下 的 日 志 解 析 文 件 “NSG_Legendsec_ 
20170817. xml”, 单 击 “ 确 定 ” 按 钮 ,如 图 4-148 所 示 。 


O 系统 > 日 志 解 析 支 件 管理 
Bm RA 5 su 启用 ofHR »smüist DB 


导入 日 志 上 解析 交尾 


文件 NSG. Legendsec 20170817.xml Æ fa 
ES 
WIES EA BEES E PECmilece S «mles.zipxcf) 


图 4-148 导入 日 志 解 析 文 件 


(18) 在 管理 机 中 登录 日 志 审 计 与 分 析 系 统 平 台 , 依 次 单 击 " 系 统 ” 一 ”日志 解析 文 
件 ”, 在 日 志 解 析 文 件 列 表 中 找到 文件 “NSG 360WS” 和 “NSG Legendsec 20170817", && 
击 “ 启 用 ”按钮 ,如 图 4-149 所 示 。 


! | - e- i "n -, 
后 SecFox-LAS — 一 一 
E fam Bue Came ban "gk Tom x se| "BE 


— XM) ees 
Mid'Ware Resin Access Log Resigrrihis] E 4i 2018-4-10 
T Riinos BEER MidwWare Tomcat Access Log Tomcatiin ^018-4-10 


4 mf F E 

ER ri Mid'are - "n Access AServer BEA Weblogica tihi rt 2018-4-10 
i$ GoogleFarthlll = 二 
是 | 目 吉 解析 部 牺 


ERAI 
$ INGmerT 
LE LI: 


2018-4-10 

2018-4-10 
HSedio 48 ES SERIE FL 2018-4-10 
FiiSecFoxiisM EE E 2018-4-10 
同 神 Sedfox5SNI 此 反目 记 2018-4-10 
Microsoft Webmail : 2018-4-10 
wander aEpzt 2018-4-10 


图 4-149 启用 日 志 解 析 文 件 


(19) 单 击 “事件 ”一 “接收 的 外 部 事件 ”, 可 以 在 “接收 的 外 部 事件 ”中 实时 查看 发 送 过 
来 的 日 志 信 息 , 其 中 ,事件 的 “等 级 “ 源 地 址 “目的 端口 “设备 类 型 “事件 名 称 ” 等 属性 都 
有 上 有 具体 内 容 显示 ,说 明日 志文 件 已 经 被 成 功 解析 ,如 图 4-150 所 示 。 

(20) 综 上 所 述 , 日 志 审 计 与 分 析 系 统 可 以 通过 日 志 解 析 文 件 对 接收 的 日 志文 件 进 
解析 ,并 可 以 查看 日 志文 件 的 相关 信息 。 
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【实验 思考 】 
日 志 审计 与 分 析 系 统 如 何 解析 不 同类 型 的 日 志文 件 ? 


4-150 查看 解析 完成 的 日 志文 件 
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"B5 
H 志和 存储 与 分 析 


日 志 数 据 主要 是 根据 数据 的 存储 格式 .日 志 数 据 所 需 存 储 空间 、 日 志 数 据 检 索 速 度 、 
仓储 有 也 需 成 本 等 需求 保 略 进行 存储 。 本 市 首先 介绍 日 记 数 据 的 存储 格式 ,主要 有 基于 文 
本 的 日 志文 件 存 储 、 二 进 制 文件 存储 以 及 压 护 文件 的 存储 。 随 后 ,综合 存储 日 记 有 所 需 的 空 
间 的 大 小 和 检 过 速度, 介绍 本 地 数据 库存 储 和 以 Hadoop 存储 为 代表 的 分 布 式 存储 策略 。 


5.1 Ts ER S 23 T 2 Eft Sc ESI BAL SC Uu 


【实验 目的 】 


日 志 审 计 与 分 析 系 统 提供 实时 监视 功能 ,可 以 监视 最 近 时 间 内 发 生 的 事件 ,包括 外 部 
事件 、 告 过 事件 等 。 本 实验 通过 问 日 志 审 计 与 分 析 系 统 发 送 防火 墙 日 志 来 查看 实时 监视 


【知识 点 了 
实时 监视 ,外 部 事件 。 
[3:92 25552] 


近期 ,A 公司 安全 运 维 工 程 师 小 王 发 现 公司 防火 墙 的 IP 访问 频繁 ,为 了 实时 了 解 防 
火 墙 日 志 的 具体 信息 ,及 时 发 现 并 人 处理 安全 隐患 ,小 王 需 要 对 防火 墙 进行 实时 监控 。 请 思 
考 应 如 何 操 作 。 

【实验 原理 了 

在 虚拟 机 中 使 用 UDPsender 向 日 志 审 计 与 分 析 系 统 服务 器 发 送 防 火 墙 日 志 , 用 户 单 
击 “ 事 件 ” 一 “实时 监视 ”一 “接受 的 外 部 事件 ”, 可 以 查看 接收 的 防火 墙 日 志 ,在 停止 接收 日 
志 后 在 “实时 监视 ”中 查看 相关 告警 事件 。 

【实验 设备 】 


。 安全 设备 : 日 志 审 计 与 分 析 设 备 1 台 
。 EHL m: Windows XP 主机 1 £. 


pi 
C1 
E: 


【实验 拓扑 】 
日 志 审计 与 分 析 系统 实时 监视 实验 拓扑 图 如 图 5-1 所 示 。 


GEI: 10.70.25.88 


管理 机 : 10.70.25.22/24 
(以 实际 IP 地 址 为 准 ) WXP 虎 拟 机 : 172.16.8.100/24 


图 5-1 日 志 审 计 与 分 析 系 统 实时 监视 实验 拓扑 图 


【实验 思路 了 


(1) 登录 WXP 虚拟 机 向 日 志 服 务 器 发 送 防 火 墙 日 志 。 

(2) 以 管理 员 admin 用 户 的 身份 登录 日 志 审 计 与 分 析 系 统 。 
(3) 查看 “实时 监视 ?内 容 。 

(4) 双击 查看 日 志 信 息 。 


【实验 步骤 】 


CD 在 管理 机 端 单 击 Xshell 图 标 ,打开 Xshell。 

(2) 在 会 话 框 中 单 击 “ 新 建 ” 按 钮 ,创建 新 的 会 话 。 

(3) 在 “主机 ” 栏 中 输入 日 志 审 计 与 分 析 系 统 GEI 接口 的 IP 地 址 “10. 70. 25. 88”( 以 
实际 IP. Hb iE D EO ,其 他 设置 保持 不 变 , 单 击 “ 确 定 ” 按 钮 。 

(A) 新 建 的 会 话 会 在 “所 有 会 话 ” 中 显示 ,选中 “新 建 会 话 ”, 单 击 “ 连 接 ” 按 钮 。 

(5) 单 击 “ 一 次 性 接受 ”按钮 。 

(6) 在 “请 输入 登录 的 用 户 名 ”一 栏 中 输入 用 户 名 admin dt Wake" TEL. 

(7) 在 “密码 ” 栏 中 输入 密码 “@1fw 划 2soc$ 3vpn”, 单 击 “ 确 定 ” 按 钮 。 

(8) 成 功 登 录 日 志 审 计 与 分 析 系 统 后 台 。 

(9) 输入 命令 “secfox -e ethl -p 172. 16. 8. 60 -m 255. 255. 255.0”, 设 置 日 志 审 计 与 
分 析 系 统 GE2 接口 的 IP 地 址 。 其 中 ,“172. 16. 8. 60” 是 GE2 口 的 IP 地 址 ,“255. 255. 
255.0” 是 GE2 口 的 子 网 掩 码 。 按 Enter 键 ,出 现 “modify ip ...”, 说 明 接 口 信息 配置 成 功 。 

do) 打开 浏览 器 ,在 地 址 栏 中 输入 日 志和 审计 与 分 析 系 统 的 IP 地 址 “https://10. 70. 
25. 88( 以 实际 IP 地 址 为 准 )”, 单 击 “ 继 续 浏 贤 此 网 站 ”按钮 ,打开 平台 登录 界面 。 

(OD 输入 管理 员 用 户 名 /密码 “admin/11fw(@2soc#3vpn”, 单 击 “ 登 录 ” 按 钮 ,登录 日 
志 审 计 与 分 析 系 统 。 

(12) 系统 设置 的 密码 有 效 期 为 7 天, 当 登录 系统 后 收 到 更 改 密码 提示 时 , 单 击 “ 确 
定 ” 按 钮 ,更 改 系 统 密码 。 

(13) 在 “原始 密码 ”一 栏 输入 原始 窒 码 “11fw(@2soc# 3vpn”。 在 “新 窒 公 ”一 栏 输入 
" !1fw(22soc 3t 3vpn” ,与 原始 密码 相同 。 在 “确认 新 密码 ”一 栏 输入 ”11lfw@2soc 间 
3vpn" , Fiir" Bü AE T HL. 
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日 志 审 计 与 分 析 实 验 指导 oí m 


14) 单 击 浏览 器 中 的 “工具 ”一 “兼容 性 视图 设置 ”。 

(150 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “https://10.70.25.88”( 以 实际 IP 地 址 为 
准 ) , 单 击 “添加 ”按钮 ,添加 网 站 兼容 性 视图 。 

(160 单 击 "关闭 "按钮 ,退出 设置 。 

(17) 进入 日 志 审 计 与 分 析 系 统 后 , 单 击 “系统 ”系统 维护 ,可 看 到 系统 ”IP 地 址 配 
置 1 为 “172. 16. 8. 60", 

(18) 将 管理 机 时 间 与 日 志 审 计 与 分 析 系 统 时 间 统 一 。 在 日 志 审 计 与 分 析 系 统 中 , 单 
击 “ 系 统 ” 一 “系统 维护 ”, 接 着 单 击 "时间 校对 设置 ? 框 中 的 “手动 校 时 ?选项 。 

(19) 单 击 " 时 间 ” 一 栏 的 钟表 图 案 。 

(20) 选择 与 管理 机 统一 的 时 间 。 

(21) 单 击 屏幕 空白 处 ,退出 设置 。 

(22) 单 击 “ 修 改 时 间 ”, 完 成 日 志 审 计 与 分 析 系 统 时 间 的 手动 修改 。 

(23) 修改 成 功 后 ,系统 会 跳 转 至 登录 界面 ,重新 输入 用 户 名 /密码 “admin/11fwG@ 
2soc 间 3vpn”, 登 录 日 志 审 计 与 分 析 系 统 。 

(24) 重新 登录 后 ,查看 系统 界面 右 下 方 的 时 间 , 与 管理 机 时 间 相 同 。 

(25) 登录 实验 平台 ,打开 虚拟 机 WXPSP3, 对 应 实验 拓扑 中 的 右 侧 设备 ,如 图 5-2 


GEI: 10.70.25.88 


管理 机 : 10.70.25.22/24 — 
(以 实际 IP 地 址 为 准 ) WXPSP3 虚 所 机 : 172.16.8.100/24 


图 5-2 打开 虚拟 机 WXPSP3 


(26) 进入 虚拟 机 后 ,为 保证 日 志 审 计 与 分 析 系 统 收 到 的 日 志文 件 时 间 与 虚拟 机 时 间 
一 致 ,首先 查看 虚拟 机 的 系统 时 间 与 管理 机 的 系统 时 间 是 否 一 致 ,如 条 不 一 致 , 则 双击 虚 
拟 机 界面 右 下 角 的 时 间 进 行 调整 。 

(27) 根据 管理 机 时 间 对 虚拟 机 时 间 进 行 调 整 ,时 间 确 定 后 单 击 "确定 ”按钮 。 

(28) 进入 虚拟 机 时 面 ,打开 果 面 上 的 “实验 工具 ”。 

(29) 单 击 文 件 夹 UDPSender。 

(30) UDPsender 是 模拟 防火 二 日 志 发 送 的 工具 ,双击 网 标 ”UDPsender. exe”, 打开 
文件 夹 中 的 日 志 发 送 工 具 。 

(31) 配置 日 志 发 送 的 相关 信息 , “协议 ”设置 为 Syslog， 方 式 ” 设 置 为 “ 按 速 度 发送 ”， 
“速度 ”输入 5, 然 后 单 击 “初始 化 通信 ?。 

(32)“ 消 息 来 源 ? 设 置 为 "从 文件 ?, 单 击 “...” 按 钮 ,选择 目标 日 志文 件 。 

(33) 从 查找 范围 中 的 “ 果 面 "进入 “实验 J CPER, 单 击 UDPSender 文件 夹 。 

(34) 进入 logfiles 进行 日 志文 件 选 择 , 本 实验 选择 “FW_LOG_DEOM. log”, 上 表单 击 
“打开 ”按钮 。 

(35) 在 目标 问 设 置 中 ,选中 厅 号 为 0 的 目标 , 单 击 B. 
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(360 将 “目的 IP 地址 ”设置 为 “日 志 服 务 兹 的 IP 地 址 ”, 本 实验 设置 为 *172. 16. 8. 
60" im F1 ix 514. 

(37) 完成 设置 后 ,核对 信息 配置 是 否 正确 ,然后 单 击 “发 送 ” 按 钮 。 

(38) 完成 日 志 发 送 过 程 后 ,按照 步骤 (1), 在 管理 机 中 登录 日 志 审 计 与 分 析 系 统 平 
台 ,依次 单 击 "资产 ”一 “资产 日 志 ”, 如 图 5-3 所 示 。 
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图 5-3 进入 资产 日 志 界 面 


(39) 选中 摧 产 地 址 "172. 16. 8. 100”, 单 击 “ 人 允许 接收 ”和 “局 用 ”按钮 ,以 允许 日 记 审 
计 与 分 析 系 统 接收 日 记 , 并 局 用 “古人 否 竺 去”, 如 图 5-4 Bro 


图 5-4 ”管理 资产 日 志 


(40) 修改 “配置 告警 间 隅 ” ,系统 默认 告警 间 阳 为 1 天 ,在 本 实验 中 将 其 设置 为 1 分 


资产 > 资产 日 志 > 资产 日 志 管 理 
Faek Feee 


Bam eeka 


i * Ox O4e[e s] 
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图 5-5 配置 告警 间隔 


【实验 预期 】 


(OD 在 日 志 审 计 与 分 析 系 统 中 可 以 查看 到 接收 的 日 志文 件 。 
(2) 停止 日 志 发 送 后 在 实时 监视 中 可 以 查看 告警 信息 。 
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【实验 结果 】 


(1) 在 管理 机 中 重新 登录 日 记 审 计 与 分 析 系 统 平台 ,依次 单 击 “事件 ”一 “和 实时 监 
视 "一 “接收 的 外 部 事件 ” ,如 图 5-6 所 示 。 


mm 
全 实时 监视 
à 实时 分 析 
D 事件 查询 
加] 趋势 分 析 


实时 监视 
Ca C2 Cx Ch - Cb Cg 
mE 

由 -站 审计 设备 

HI 应 用 安全 

a- 协议 访问 


图 5-6 接收 的 外 部 事件 


(2) 可 以 在 “接收 的 外 部 事件 ”中 实时 查看 发 送 过 来 的 日 志 信 息 , 如 图 5-7 所 示 。 
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图 5-7 接收 日 志 成 功 


(3) 登录 实验 平台 对 应 实验 拓扑 右 侧 的 WXP 虚拟 机 ,如 图 5-8 所 示 。 


GEI: 10.70.25.88 GE2: 172.16.8.60 


管理 机 : 10.70.25.22 
(以 实际 IP 地 址 为 准 ) WXP 虑 所 机 : 172.16.8.100/24 


图 5-8 进入 虚拟 机 WXP 
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(4) 停止 发 送 日 志 , 在 UDPsender 界面 单 击 “停止 ”按钮 。 

(5) 在 管理 机 中 登录 日 志 审 计 与 分 析 系 统 平 台 ,依次 单 击 "事件 ”一 ”实时 监视 ”一 “ 主 
页 场景 ”最 近 5 分 钟 产生 的 告警 事件 ” ,进入 "属性 ?界面 调整 时 间 设 置 ,将 “最 近 发 生 时 
间 ” 设 置 为 5 天 ,如 图 5-9 所 示 。 
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图 5-9 时 间 设 置 


(60 在 “最近 5 分 钟 产生 的 告 雹 事件 ”的 实时 监视 界面 ,可 以 看 到 产生 的 告警 事件 ,如 
图 5-10 所 示 。 
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E-cg EDTMR 


图 5-10 实时 监视 告警 事件 


CD 同样 在 “实时 监视 ”模块 ,依次 单 击 “事件 等 级 ”~ “警告 事件 ” ,进入 “属性 ?界面 调 
整 时 间 设 置 , 将 “最 近 发 生 时 间 ” 设 置 为 5 天 ,如 图 5-11 所 示 。 


万 事件 > 站 村 监视 mugtmeip  meencnpt 
S 


ARE” 
Per 


i zEdSERIHBIELPJBTABI IER LUE 
BUT Bem 5 | 


图 5-11 日 志文 件 基本 信息 


(8) 在 “警告 事件 ”的 实时 监视 界面 ,可 以 看 到 产生 的 告 帝 事件 ,如 图 5-12 所 示 。 
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aim gie Cox am Cik Dam Cà TRASAH 


SLIEERIUOEIDLL S ELILI. 
Amm 。 属性 


Hamir dh AW ABS Qon $ E Eua de. Aant DEkGhB € 
27D 
135 
T FRAJ ktn Ex Huh EO SEN 目的 地 址 BE gd REHE 
DO D4-12 18:48:59 10.189,5.62 4337 61.183.42.59 an 172.16,8.100 hes m hia 
i 04-12 1B:4H:58 10.189, 16.584 T Z08.,87.222,224 53 1742.16.B8, 100 Fi -4- aca REDE | 


04-12 18:48:58 10.124.67.47 52035 z02.108.23.113 ag 172.16.8.100 Firm PA B 


À 04-12 18:48:58 10.174.141 5485: 50.573.177 53 172.16.8.100 hirci Rh i3). action mipermt joe 
num nema 


图 5-12 产生 的 告警 事件 


(9) 综 上 所 述 ,日 志 审 计 与 分 析 系 统 可 以 对 设备 进行 日 志 采 集 , 并 可 以 监测 告警 事 
件 ,更 好 地 完成 对 设备 的 实时 监视 。 


【实验 思考 】 


(1) 日 志 发 送 工 具 中 的 514 端口 是 否 可 以 修改 ,为 什么 
(2) 实时 监视 除了 及 时 发 现 告 警 ,还 有 什么 其 他 功能 ? 


5.2 志 审 计 与 分 析 系 统 实时 分 析 实 验 


【实验 目的 】 


日 志和 审计 与 分 析 系 统 提 供 实时 分 析 功 能 ,可 以 分 析 最 近 时 间 内 发 生 的 事件 ,包括 外 部 
事件 、 告 过 事件 等 。 本 实验 通过 癌 日 志 审 计 与 分 析 系 统 发 送 防 火 增 日 志 , 构 造 实时 分 析 场 
景 ,查看 实时 分 析 结 果 。 


【知识 点 了 
实时 分 析 日志 统计 。 
【实验 场景 】 


公司 的 日 志 审 计 与 分 析 设 备 由 安全 运 维 工程 师 小 王 人 负责 。 小 王 希 望 通过 日 志 
JE od lode 日 志 进 行 实时 分 析 , 及 时 发 现 运 维 过 程 中 的 问题 ,并 及 时 
处 理 ， 请 思考 应 如 何 实现 。 


【实验 原理 】 


日 志 审 计 与 分 析 系 统 提 供 实时 分 析 功 能 ,可 以 对 接收 的 信息 以 柱 图 或 饼 图 等 图 形 
器 管 理 员 提供 实时 分 析 信 息 。 在 虚拟 机 中 使 用 UDPsender [8] H 2 88 YF 5 2r Pr A Sc Hk 
F di AI Dj Cs Hos HH IO HR SE TET 9 “实时 分 析 ”, 可 以 查看 防火 墙 日志 的 实时 分 
pr E. 
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【实验 设备 】 


。 安 全 设备 ; 日 志 审计 与 分 析 设备 1 台 。 
。 主机 终端 : Windows XP 主机 1 人 台 。 


【实验 拓扑 】 
日 志和 审计 与 分 析 系 统 实 时 分 析 实 验 拓 扑 图 如 图 5-13 所 示 。 


GEI: 10.70.25.88 


管理 机 : 10.70.25.22/24 -一 WXPHéHUL: 172.16.8.100/24 
(以 实际 IP 地 址 为 准 ) 


图 5-13 日 志 审 计 与 分 析 系 统 实时 分 析 实 验 拓扑 图 


【实验 思路 】 


(1) 配置 日 志平 台 网 络 接口 。 

(2) 登录 WXP 虚拟 机 向 日 志 服 务 器 发 送 防 火 墙 日 志 。 

(3) 以 管理 员 admin 用 户 的 身份 登录 日 志 审 计 与 分 析 系 统 。 
(4) 查看 事件 的 实时 分 析 图 表 。 


【实验 步骤 】 


(OD 在 管理 机 端 单 击 Xshell 图 标 ,打开 Xshell。 

(2) 在 会 话 框 中 单 击 新建? 按钮 ,创建 新 的 会 话 。 

(3) 在 “主机 ? 栏 中 输入 日 志 审 计 与 分 析 系 统 GEI 接口 的 IP 地 址 “10. 70. 25. 88”( 以 
实际 IP. 地 址 为 准 ) ,其 他 设置 保持 不 变 , 单 击 “确定 ?按钮 。 

(4) 新 建 的 会 话 会 在 “所 有 会 话 ? 中 显示 ,选中 “新 建 会 话 ? , 单 击 “连接 ”按钮 。 

(5) 单 击 “一 次 性 接受 ”。 

(60 在 “请 输入 登录 的 用 户 名 ”一 位 中 输入 用 户 名 admin, 单 击 “ 确 定 ” 按 钮 。 

(7) TE" SERT PRA RIO 1fw H 2soc $ 3vpn”, 单 击 “ 确 定 ” 按 钮 。 

(8) 成 功 登 录 日 志 审 计 与 分 析 系 统 后 台 。 

(9) 输入 命令 “secfox -e ethl -p 172. 16. 8. 60 -m 255. 255. 255. 0”, 设 置 日 志 审 计 与 
分 析 系 统 GE2 接口 的 IP 地 址 。 其 中 ,“172. 16. 8. 60" GE2 口 的 IP 地址 ,“255. 255. 
255.0” 是 GE2 HI H^ AIE., TE Enter 键 ,出 现 “modify ip ...”, 说 明 接 口 信息 配置 成 功 。 

(10) 打开 浏览 器 ,在 地 址 栏 中 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “https:;//10. 70. 
25. 88( 以 实际 IP 地 址 为 准 )”, 单 击 “ 继 续 浏 览 此 网 站 ”按钮 ,打开 平台 登录 界面 。 

(11) 输入 管理 员 用 户 名 /密码 “admin/11fw(@2soc#3vpn”, 单 击 “登录 ”按钮 ,登录 日 

(12) 系统 设置 的 密码 有 效 期 为 7 天 , 当 登 录 系 统 后 收 到 更 改 密码 提示 时 , 单 击 “ 确 
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定 ” 按 钮 ,更 改 系 统 密 码 。 

(13) 在 “原始 密码 ”一 栏 输入 原始 密码 “11fw@2soc#3vpn”。 在 “新 密码 ”一 栏 输 入 
“Ilfw@2soc # 3vpn”, 与 原始 密码 相同 。 在 “确认 新 密码 ”一 柱 输 入 “1 1fw(@ 2soc# 
3vpn”, 单 击 “ 确 定 ” 按 钮 。 

(14) 单 击 浏览 器 中 的 “工具 ”一 “兼容 性 视图 设置 ”。 

(15) 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “https://10.70.25. 88”, 单 击 “ 添 加 ”按钮 ， 
添加 网 站 兼容 性 视图 。 

(16) 单 击 “关闭 ”按钮 ,退出 设置 。 

(17) 进入 日 志 审 计 与 分 析 系 统 后 , 单 击 “系统 ”>“ 系 统 维护 ”, 查 看 到 系统 "IP 地址 配 
置 1” 为 “172. 16.8.60”, 

(18) 将 管理 机 时 间 和 日 志 审 计 与 分 析 系 统 时 间 统 一 。 在 日 志 审 计 与 分 析 系 统 中 , 单 
击 “ 系 统 ” 一 “系统 维护 ”, 接 着 单 击 “时 间 校 对 设置 ? 框 中 的 "手动 校 时 ?选项 。 

(19) 单 击 “时 间 ” 一 栏 的 钟表 图 案 。 

(20) 选择 与 管理 机 统一 的 时 间 。 

(21) 单 击 屏 硕 空 归 处 ,退出 设置 。 

(22) 单 击 “ 修 改 时 间 ”, 完 成 日 志 审 计 与 分 析 系 统 时 间 的 手动 修改 。 

(23) 修改 成 功 后 ,系统 会 跳 转 至 登录 界面 , 午 新 输入 用 户 名 /密码 “admin/11fw@ 
2soc 井 3vpn”, 登 录 日 志 审 计 与 分 析 系 统 。 

(24) 重新 登录 后 ,查看 系统 界面 右 下 方 的 时 间 ,与 管理 机 时 间 相 同 。 

(25) 登录 实验 平台 ,打开 虚拟 机 WXP, 对 应 实验 拓扑 中 的 右 侧 设备 ,如 图 5-14 
所 示 。 


管理 机 : 10.70.25.22/24 
WS onm WXP 虑 拟 机 : 172.16.8.100/24 


图 5-14 打开 虚拟 机 WXP 


(26) 进入 虚拟 机 后 ,为 保证 日 志 审 计 与 分 析 系 统 收 到 的 日 志文 件 时 间 与 虚拟 机 时 间 
一 致 :首先 查看 虚拟 机 的 系统 时 间 与 管理 机 的 系统 时 间 是 否 一 致 ,如 果 不 一 致 , 则 双击 虚 
拟 机 界面 右 下 和 角 的 时 间 进 行 调整 。 

(27) 根据 管理 机 时 间 对 虚拟 机 时 间 进 行 调整 ,时间 确 定 后 单 击 “ 确 定 ” 按 钮 。 

(28) 进入 虚拟 机 果 面 ,打开 果 面 上 的 “实验 工具 ”。 

(29) Hi XC FS UDPSender。 

(30) UDPsender 是 模拟 防火 墙 日 志 发 送 的 工具 ,双击 图 标 *UDPsender. exe". 打开 
文件 夹 中 的 日 志 发 送 工 具 。 

(31) 配置 日 志 发 送 的 相关 信息 , “协议 ”设置 为 Syslog, “方式 ”设置 为 “ 按 速 度 发 送 ”， 
“速度 ”输入 5, 然 后 单 击 "初始 化 通信 ?。 

(32) "iB BOE UR" VE ELO" MAXI Ai“... 按钮 ,选择 目标 日 志文 件 。 
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(33) 在 查找 范围 中 的 “ 果 面 "+ 上 进入 “实验 工具 ”目录 , 单 击 UDPSender 文件 夹 。 

(34) 进入 logfiles 进行 日 志文 件 选 择 , 本 实验 选择 “FW_LOG_DEOM. log” ,再 单 击 
“打开 ”按钮 。 

(35) 在 目标 端 设置 中 ,选中 序号 为 0 的 目标 , 单 击 “ 编 辑 ” 按 钮 。 

(36) 将 “目的 人 地 址 ”设置 为 “日 志 服 务 右 的 全 地 址 ”, 本 实验 设置 为 “172. 16. 8. 60”， 
端口 设置 为 514。 

(37) 完成 设置 后 ,核对 信息 配置 是 否 正 确 , 然 后 单 击发 送 ” 按 钮 。 

(38) 完成 日 志 发 送 过 程 后 ,按照 步骤 (1), 在 管理 机 中 登录 日 志和 审计 与 分 析 系 统 平 
台 ,依次 单 击 “资产 ”一 "资产 日 志 ”, 如 图 5-15 所 示 。 
I$. SecFox-LAS 


< 名 事件 |. Idm ARR 并 系统 加 系统 日 志 


资产 
D ES: 


Cy Co Ca Ch Ch- C3 W ud 
C) 次 六 对象 
a" 防火 墙 
,六 服务 器 


图 5-15 进入 资产 日 志 界 面 


(39) 选中 资产 地 址 ”172. 16. 8. 100”, 单 击 “ 允 许 接收 ”和 “启用 ”按钮 ,以 允许 日 志 利 
计 与 分 析 系 统 接收 日 志 , 并 局 用 "是 否 告警 ”, 如 图 5-16 所 示 。 


"s SecFox-LAS . | 
- Dan |Bxt|Xome ban Tes Can Ae Tait 
a © Ao 瓷 户 日 志 > APOR 
RE Pecak Dai EBR FUXEREHM 


i IFEI- 5: E HI 
172.16.8.100 2018-04-12? 19:45:41 


图 5-16 管理 资产 日 志 


【实验 预期 】 


(1) 对 事件 的 数量 进行 实时 分 析 。 
(2) 对 告警 事件 的 产生 进行 实时 分 析 。 


【实验 结 采 】 


(1) 在 管理 机 中 重新 登录 日 记 审 计 与 分 析 系 统 平台 ,依次 单 击 “事件 ” 习 “ 实 时 分 
析 ” 一 “主页 场景 ”一 “各 事件 总 数 统 计 ” ,如 图 5-17 所 示 。 
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号 "SecFox-LAS 


LÀ 


Qan gar |t se] sm Tem 


事件 ^ 事件 > 实时 分 析 > 主页 场 最 > 各 事件 总 凡 
4, 实时 监视 日 志 统 计 图 日志 统计 数据 — RE 


显 堆积 柱状 图 Eltes 分 剧 新 
i) 事件 查询 
图 趋势 分 析 


实时 分 析 

Cy Co Cg Ch- Ch C3 

C3 实时 分 析 

由 - 安全 设备 事件 

H-O 网 阁 设备 事件 

H-O 应 用 服务 事件 

H- 应 用 安全 事件 

EE 
D 使 用 最 多 的 10 个 应 用 协议 
D 使 用 某 种 应 用 协议 最 多 的 
D 发 兰 事 件 最 多 的 10 个 源 地 . 
-D 发 送 流 量 最 大 的 10 个 资产 


-D 各 种 类 型 设备 事件 量 统计 
cL) 总 流量 最 大 的 10 个 应 用 协 
cL) 护 收 事件 最 多 的 10 个 目的 


图 5-17 各 事件 总 数 统计 


(2) 可 以 在 “各 事件 总 数 统计 ”场景 中 看 到 对 近期 内 所 有 事件 总 数 的 统计 ,以 此 作为 
分 析 结 灯 , 单 击 “ 刷 新 ”按钮 ,可 以 观察 到 事件 数量 是 不 断 变化 的 ,如 图 5-18 所 示 。 


£g: L72. 15-E. 100 


图 5-18 各 事件 总 数 统 计 
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(3) 登录 实验 平台 对 应 实验 拓扑 左 侧 的 WXP 虚拟 机 ,对 应 实验 拓扑 中 的 右 侧 设备 ， 
如 图 5-19 所 示 。 


GEI: 10.70.25.88 


管理 机 ，10.70.25.22/24 | 
(以 实际 IP 地 址 为 准 ) WXP 虎 拟 机 : 172.16.8.100/24 


图 5-19 进入 虚拟 机 WXP 
(4) FA IE XS H i. Œ UDPsender 界面 单 击 “ 停 止 " 按 钮 。 
(5) 在 管理 机 中 重新 登录 日 志 审 计 与 分 析 系 统 平台 ,依次 单 击 “事件 ”一 “实时 分 
析 ” 一 “主页 场景 ”一 “各 事件 电 数 统计 ”, 如 图 5-20 Br. 


E: SecFox-LAS 


* S > 实时 分 析 > +mips > EH 
日 志 统计 图 “日 志 统 计数 据 et 
咯 堆积 柱状 图 ” 剧 | 生成 报表 ” ope 
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cL) 使 用 最 多 的 10 个 应 用 协议 
CL) 合 用 其 种 应 用 协议 最 多 的 
CD 发 详 事 件 最 多 的 10 个 源 地 ， 


Ul») 各 种 类 型 设备 事件 量 统计 
CL) 总 流量 最 大 的 10 个 应 用 协 
CD 接收 事件 最 多 的 10 个 目的 
CUL) 接 收 流量 最 大 的 10 个 资产 
CD 涯 地址 事件 分 类 统计 报表 
CD) 源 地 址 告警 事件 统计 报表 


图 5-20 各 事件 总 数 统计 


(6) 可 以 发 现 停止 发 送 日 志 后 ,实时 分 析 中 的 "各 事件 总 数 统计 ” 便 不 再 变化 ,即使 单 
击 “ 刷 新 ”按钮 ,在 一 段 时 间 内 数量 也 是 不 改变 的 ,如 图 5-21 所 示 。 

(7) 实时 分 析 也 可 以 对 告警 事件 进行 分 析 , 单 击 “ 主 页 场景 ”, 选 中 "各 告警 规则 事件 
统计 ”, 单 击 “ 修 改 ” 按 钮 ,如 图 5-22 所 示 。 

(8) 为 了 便于 观察 实验 结果 ,对 分 析 场 景 的 时 间 进 行 设置 , 单 击 “属性 ”按钮 ,将 “最 近 
发 生 时 间 ” 设 置 为 5 天 ,其 他 保持 默认 设置 , 单 击 “ 确 定 ” 按 钮 ,如 图 5-23 所 示 。 
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图 5-21 停止 发 送 日 志 后 各 事件 总 数 统计 


— ^ © 事件 > 实时 分 析 > 主页 场景 > 日 志 统 计 场景 列表 

È 安村 监视 *um|dem|uae Bem Gage SA deu 
名 称 过 法 器 

使 用 最 你 的 10 个 应 用 协议 Jes 

使 用 其 种 应 用 协议 最 多 的 10 个 资产 。 无 过 滤器 

总 流量 最 大 的 10 个 应 用 协议 无 过 滤器 

发 送 流量 最 大 的 10 个 资产 无 过 滤器 

接收 流量 最 大 的 10 个 资产 无 过 滤器 

发 送 事 件 最 多 的 10 个 源 地 址 等 级 高 于 信息 的 外 部 事件 
接收 事件 最 多 的 10 个 目的 地 址 等 级 高 于 信息 的 外 部 事件 
各 事件 总 数 统计 [使 用 过 济 条 件 ] 

各 种 类 型 设备 事件 量 统计 接收 的 外 部 事件 

各 告警 规则 事件 统计 关联 告警 事件 


cp 实时 分 析 
也 事件 查询 
加 | 趋势 分 析 


实时 分 析 
Ee ee 
EI 

由 -个 | 安全 设备 事件 
E-C) 网 络 设备 事件 


L1 ET E] EJ El E] EJ E1 EJ D] 


| 


图 5-22 编辑 实时 分 析 场 景 信息 


D 事件 > 实时 分 析 > HERR > 各 舍 营 规 则 审 件 统计 
ET 


各 告警 规则 事件 统计 
XEESERES č | TE xxm Time 


xfi die eR TBI ED FREE AURIS rH ES ESSERE 


E3ES ES 


图 5-23 分 析 场 景 时 间 设 置 
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(9) 完成 设置 后 ,双击 场景 “各 告警 规则 事件 统计 ”, 如 图 5-24 所 示 。 


O 事件 > 实时 分 析 > 主页 场景 > 日 志和 统计 场景 列表 
dim dh Ape Wer Bass ASA SH 


名 称 aisea 
使 用 最 对 的 10 个 应 用 协议 
使 用 某 种 应 用 协议 最 多 的 10 个 资产 


等 级 高 于 信息 的 外 部 事件 
接收 事件 最 拿 的 10 个 目的 地 址 等 级 高 于 信息 的 外 部 事件 
各 事件 总 数 统计 [使 用 过 滤 条 件 ] 

各 种 类 型 设备 事件 县 统 计 接收 的 外 部 事件 


mimm L as O iLE NI NININ 


图 5-24 进入 实时 分 析 场 景 


(10) 可 以 看 到 日 志 停 止 发 送 后 ,日 志 审 计 与 分 析 系 统 产 生 了 告警 事件 ,并 可 以 通过 
实时 分 析 进 行 查看 ,如 图 5-25 所 示 。 


图 5-25 查看 告警 事件 统计 


(11) 综 上 所 述 , 日 志 审计 与 分 析 系 统 具 有 对 接收 的 事件 进行 实时 分 析 的 能 力 。 
【实验 思考 】 


(1) 若 只 分 析 某 一 地 址 发 送 的 日 志 , 应 当 对 分 析 场 景 进 行 怎 样 的 调整 ? 
(2) 在 需要 分 析 在 某 一 段 时 间 内 接收 的 事件 数量 的 日 志 , 应 当 对 分 析 场 景 进行 怎样 
的 调整 ? 
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53 日 志 审 计 与 分 析 系 统 趋势 分 析 实 验 


【实验 目的 了 


日 志 审 计 与 分 析 系统 提供 趋势 分 析 功 能 ,管理 员 通过 系统 的 趋势 分 析 功 能 ,可 以 对 近 
期 接收 事件 的 发 生 时 间 发生 频 率 等 进行 分 析 。 


【知识 点 】 


趋势 分 析 。 
【实验 场景 】 


A 公司 日 志 审 计 与 分 析 设 备 由 安全 运 维 工程 师 小 王 负 责 , 小 王 想 查看 一 下 平台 监视 
的 防火 墙 在 一 周 之 内 事件 数量 的 变化 趋势 。 请 思考 应 如 何 操 作 ，。 

【实验 原理 】 

日 志 审 计 与 分 析 系 统 提供 趋势 分 析 功 能 ,可 以 对 来 自 某 一 数据 源 或 某 些 数据 源 的 事 
件 进 行 趋 势 分 析 ,数据 源 信息 包括 设备 IP, HK IP 等 ,通过 对 事件 的 趋 执 分析, 可 以 得 出 
事件 的 相关 特点 以 及 发 展 趋势 。 在 虚拟 机 中 使 用 UDPsender 回 日 志 审 计 与 分 析 系 统 服 
务 需 发 送 防 火场 日 志 , 管 理 员 用 户 单 击 "事件 ”一 趋势 分 析 ”, 可 以 对 事件 进行 趋势 分 析 。 

【实验 设备 】 

。 安全 设备 : 日 志 审 计 与 分 析 设 备 1 人 台 。 

。 主机 终端 Windows XP 主机 1 人 台 。 

【实验 拓扑 】 

日 志 审 计 与 分 析 系 统 趋势 分 析 实 验 拓扑 图 如 图 5-26 所 示 。 


管理 机 : 10.70.25.22/24 


以 实际 yE WXPIETUEL: 172.16.8.100/24 
(以 实际 IP 地 址 为 准 ) 虚拟 机 8.100 


图 5-26 日 志 审 计 与 分 析 系 统 趋势 分 析 实 验 拓扑 图 


【实验 思路 】 


(1) 配置 日 志平 台 网 络 接 口 。 
(2) 登录 WXP 虚拟 机 向 日 志 服 务 器 发 送 防 火 墙 日 志 。 
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(3) 以 管理 员 admin 用 户 的 身份 登录 日 志 审 计 与 分 析 系 统 。 
(4) 通过 “趋势 分 析 ” 模 块 进行 事件 的 趋势 分 析 。 


【实验 步骤 】 


(o 在 管理 机 端 单 击 Xshell 图 标 , 打 开 Xshell。 

(2) 在 会 话 框 中 单 击 “新 建 ” 按 钮 ,创建 新 的 会 话 。 

(3) 在 “主机 ” 栏 中 输入 日 志 审 计 与 分 析 系 统 GEI 接口 的 IP 地 址 10. 70. 25. 88”( 以 
实际 IP. 地 址 为 准 ) ,其 他 设置 保持 不 变 , 单 击 “ 确 定 ” 按 钮 。 

CA) 新 建 的 会 话 会 在 “所 有 会 话 ” 中 显示 ,选中 “新 建 会 话 ”, 单 击 “ 连 接 ” 按 钮 。 

(5) 单 击 “一 次 性 接受 ”按钮 。 

(6) 在 “请 输入 登录 的 用 户 名 ”一 位 中 输入 用 户 名 admin, 单 击 “ 确 定 ” 按 钮 。 

CD 在 “密码 ” 栏 中 输入 密码 “@1fw#2soc$ 3vpn”, 单 击 “ 硼 定 ” 按 钮 。 

ei o 

(9) 输入 命令 “secfox -e ethl -p 172. 16. 8. 60 -m 255. 255. 255. 0”, 设 置 日 志 审 计 与 
Ap Ws 的 IP 地 址 。 其 中 ,“172. 16. 8. 60” 是 GE2 H ff] IP 38 HE. 255. 255. 
255. 0” Œ GE2 口 的 子 网 掩 码 。 按 Enter 键 IH Jl" modify ip ...”, 说 明 接口 信息 配置 成 功 。 

(10) 打开 浏览 器 ,在 地 址 栏 中 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “https://10. 70. 
25. 88”( 以 实际 IP 地 址 为 准 ) , 单 击 继续 浏 览 此 网 站 ”, 打 开平 台 登 录 界 面 。 

(11) WAE MEn HPF 25 / 2 f "admin/'1fw(22soc 4 3vpn" , FR d; XR oe" TE EIL XR ox H 

(120 系统 设置 的 密码 有 效 期 为 7 天, 当 登 录 系 统 后 收 到 更 改 密码 提示 时 , 单 击 “ 确 
定 ” 按 钮 ,更 改 系 统 密码 。 

(13) 在 “原始 密码 ”一 栏 输入 原始 密码 “11fw@2soc# 3vpn”。 在 “新 密码 ”一 栏 输入 
" I1fw(22soc # 3vpn”, 与 原 妈 密码 相同 。 在 “确认 新 密码 ”一 栏 输入 “11fw(@ 2soc # 
3vpn”, 单 击 “ 确 定 ” 按 钮 。 

(14). 单 击 浏览 器 中 的 “工具 ”一 “兼容 性 视图 设置 ”。 

(150 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “https://10.70.25.88”( 以 实际 IP 地 址 为 
准 ) , 单 击 “添加 ”, 添 加 网 站 兼容 性 视图 。 

(16) 单 击 "关闭 ?按钮 ,退出 设置 。 

(17) 进入 日 志 审 计 与 分 析 系 统 后 , 单 击 “系统 ”>“ 系 统 维护 ”, 可 看 到 系统 “IP 地 址 配 
置 1” 为 “172. 16. 8. 60", 

(18) 将 管理 机 时 间 和 日 志 审 计 与 分 析 系 统 时 间 统 一 。 在 日 志 审 计 与 分 析 系 统 中 , 单 
击 “ 系 统 ”>“ 系 统 维护 ”, 接 着 单 击 “ 时 间 校 对 设置 " 框 中 的 “手动 校 时 ”选项 

(19) 单 击 “时 间 ” 一 栏 的 钟表 图 案 。 

(20) 选择 与 管理 机 统一 的 时 间 。 

(21) Ha Bé mS E iR h ER. 

(22) 单 击 “ 修 改 时 间 ”, 完 成 日 志 审 计 与 分 析 系 统 时 间 的 手动 修改 。 

(23) 修改 成 功 后 ,系统 会 跳 转 至 登录 界面 ,重新 输入 用 户 名 /密码 “admin/11fw(@ 
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2soc 井 3vpn”, 登 录 日 志 审 计 与 分 析 系 统 。 
(24) 重新 登录 后 ,查看 系统 界面 右 下 方 的 时 间 ,与 管理 机 时 间 相 同 。 
(25) 登录 实验 平台 ,打开 虚拟 机 WXP, 对 应 实验 拓扑 中 的 右 侧 设备 ,如 图 5-27 


GEI: 10.70.25.88 


m a X) WXPF: 172.16.8.100/24 


图 5-27 打开 虚拟 机 WXP 


(26) 进入 虚拟 机 后 ,为 保证 日 志 审 计 与 分 析 系 统 收 到 的 日 志文 件 时 间 与 虚拟 机 时 间 
一 致 ,首先 查看 虚拟 机 的 系统 时 间 与 管理 机 的 系统 时 间 是 否 一 致 ,如 果 不 一 致 , 则 双击 虚 
拟 机 界面 右 下 角 的 时 间 进 行 调整 。 

(27) 根据 管理 机 时 间 对 虚拟 机 时 间 进 行 调 整 ,时 间 确 定 后 单 击 "确定 ?按钮 。 

(28) 进入 虚拟 机 果 面 ,打开 有 果 和 面 上 的 “实验 工具 ”。 

(29) 单 击 文件 夹 UDPSender。 

(30) UDPsender 是 模拟 防火 场 日 志 发 送 的 工具 ,双击 图 标 “UDPsender. exe”, 打 开 
文件 夹 中 的 日 志 发 送 工具 。 

(31) 配置 日 志 发 送 的 相关 信息 , “协议 ”设置 为 Syslog, “方式 ”设置 为 “ 按 速度 发 送 ”， 
“速度 ”输入 5, 然后 单 击 “ 初 始 化 通信 ”。 

(32)“ 消 朋 来 源 ” 设 置 为 “从 文件 ”, 单 击 “...” 按 钮 ,选择 目标 日 志文 件 。 

(33) 在 查找 范围 中 的 “ 果 面 "上 进入 “实验 工具 ”目录 , 单 击 UDPSender 文件 夹 。 

(34) 进入 logfiles 进行 日 志文 件 选择 ,本 实验 选择 “FW_LOG_DEOM. log". PE 
“打开 ”按钮 。 

(35) 在 目标 端 设置 中 ,选中 订 号 为 0 的 目标 , 蛙 击 “编辑 ”按钮 。 

(36) 将 “目的 IP Hb BE" ix ELO" HS HRS ss RJ IP 地 址 ”, 本 实验 设置 为 “172. 16. 8. 
60”, 端口 设置 为 514。 

(37) 完成 设置 后 ,核对 信息 配置 是 否 正确 ,然后 单 击 “ 发 送 ”。 

(38) 完成 日 志 发 送 过 程 后 ,按照 步骤 (1), 在 管理 机 中 登录 日 志 审 计 与 分 析 系 统 平 
台 ,依次 单 击 * 资 产 ” 一 “资产 日 志 ”, 如 图 5-28 所 示 。 

(39) 选中 资产 地 址 “172. 16. 8. 100”, 单 击 “ 允 许 接收 ”和 “ 尼 用 ”按钮 ,以 允许 日 志和 审 
计 与 分 析 系 统 接收 日 志 , 并 局 用 “是 否 告 去 ”, 如 图 5-29 Bron. 


【实验 预期 


(1) 通过 “ 趋 努 分 析 ” 功 能 可 以 对 近期 接收 到 的 事件 进行 趋 努 分 析 。 
(2) 双击 事件 查看 相关 信息 。 


Egg 第 5 和 章 日 去 存储 与 分 析 于 


IS SecFox-LAS 
7 S QI bhau TRR DAR AKA TRAAT | 


资产 
[3] 资 产 履 性 
D] 资 产 日 志 


资产 对 象 

GR Co Ca Ch Ch- C9 Q, i 
C3 er 

-O moda 

-I RSS 


图 5-28 进入 资产 日 志 界 面 


5 SecFox-LAS 
: fan Eu Com ban Tiks Dom Cox URBE 
Wie-dyerIM > 资产 日 去 管理 
E B Nr 
EUH | wtribie iE SH 
172.186.8, 100 EI: 2018-04-12 20:34:43 


图 5-29 ”管理 资产 日 志 


【实验 结果 】 
CD 在 管理 机 中 重新 登录 日 志 审 计 与 分 析 系 统 平台 ,依次 单 击 “事件 ”一 “趋势 分 析 ”， 
如 图 5-30 所 示 。 


TS Sec Fox-LAS 


— n | | 


EST 


Gy C Cx Ch - C5 C3 


S 趋势 分 析 
向 -站 默认 趋势 组 
… 门 安全 设备 趋势 组 


图 5-30 ”进入 趋势 分 析 


(2) 进入 "趋势 分 析 " 后 ,首先 新 建 趋势 分 析 组 , 单 击 根 目 录 “ 趋 势 分 析 ”, 然 后 单 击 上 
方 的 “添加 ”按钮 ,如 图 5-31 所 示 。 
(3) 在 “添加 ”界面 ,在 名称 ”中 输入 “安全 设备 趋势 组 ”, 这 个 趋势 组 中 主要 存放 关于 
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安全 设备 的 趋势 分 析 情 况 , 如 图 5-32 所 示 。 


G o aa- GG 


[s]o a a oc 


H-I 默认 趋势 组 


图 5-31 新 建 趋势 分 析 组 5-32 ”新建 趋势 分 析 组 


(4) 单 击 "安全 设备 趋 努 组 "以 进入 赵 努 组 ,然后 单 击 “ 添 加 ”按钮 ,如 图 5-33 所 示 。 


(P 事件 > 趋势 分 析 > 安全 设备 趋势 组 > 趋势 场 时 列表 
mes Hee| Bern baH KSA $ Gtr 


O 名 称 地 址 类 型 


图 5-33 ”添加 趋势 场景 


(5) 接 下 来 进行 趋势 场景 参数 配置 ,“ 名 称 ” 输 入 “防火 墙 日 志 趋 势 分 析 ”, 在 “数据 来 
源 ” 中 选中 “设备 地 址 ” 单 选 按钮 ,并 输入 本 实验 之 前 发 送 日 志 的 虚拟 机 IP 地 址 172. 168. 
8. 100” , “时 间 范 围 ? 选 中 "相对 时 间 ? 单 选 按 钮 ,并 输入 "本 周 ”, 统 计 类 型 选中 "事件 数量 ” 
单 选 按钮 ,如 图 5-34 所 示 。 


Omama [e mE | 


图 5-34 配置 趋势 场景 参数 
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(6) 配置 参数 完成 后 ,核对 参数 , 单 击 下 方 的 “确定 ”按钮 ,如 图 5-35 BER. 


iter | 屋 性 
Ept 
fet 


BREE 


(a? rhit 
EnS 


图 5-35 ”完成 参数 配置 


(7) 在 趋势 分 析 结 来 界面 ,上 方 展示 的 是 来 日 “172. 16. 8. 100” 的 事件 的 数量 趋势 图 ， 


下 半 部 分 展示 了 每 半 个 小 时 内 ,日 志 系 统 接收 的 事件 数量 ,可 以 看 出 事件 的 数量 呈 上 升 趋 
热 ,如 图 5-36 所 示 。 


pi 
12-17 BEC 17:30 172.16.98.100 
12-17 ig 13:00 172,16,8.10ü0 
12-12 BR 13:30 172.16.98.100 
12-12 PEC 13:00 1?z.15,8.1Qü 
12-17 BEC 13:30 17z.15.8.1üü 
12-12 SA 20:00 172.16.8.1üü 


图 5-36 ”趋势 分 析 界 面 


(8) 综 上 所 述 , 日 记 审 计 与 分 析 系 统 可 以 通过 “ 趋 努 分 析 ” 功 能 对 来 日 东 一 数据 源 或 
东 些 数据 源 的 事件 进行 趋势 分 析 。 


【实验 思考 】 


右 需 要 对 来 目 东 一 范围 的 TP. 地 址 的 事件 进行 分 析 ,趋势 场景 应 当 如 何 调整 ? 


143 


m 


日 志 审 计 与 分 析 实验 指导 
54 日 志 审计 与 分 析 系 统 事件 查询 实验 


【实验 目的 】 


日 志 审计 与 分 析 系统 提供 事件 查询 功能 ,可 以 通过 事件 ID 发生 时 间 等 关键 词 查询 
事件 。 本 实验 通过 向 日 志 审计 与 分 析 系统 发 送 防 火 墙 日 志 ,制造 事件 ,然后 使 用 事件 查询 
功能 进行 查询 。 


【知识 点 】 

事件 查询 ,行为 分 析 。 

【实验 场景 】 

A 公司 的 日 志 审计 与 分 析 系 统 由 安全 运 维 工程 师 小 王 维护 。 小 王 想 根据 特定 的 条 
件 查 看 平台 所 监控 的 设备 发 生 的 事件 ,以 便 及 时 了 解 和 发 现 问题 。 请 思考 应 如 何 操作 。 

【实验 原理 】 


在 虚拟 机 中 使 用 UDPsender H H zi 8 3T 53 23 Wr R RIA Air 38 D] Kt Hos ,用户 可 
单 击 “事件 ”一 “事件 查询 ”, 通 过 查询 设备 IP 或 事件 接收 时 间 可 以 查看 接收 的 防火 十 


Ha 
【实验 设备 】 


。 安全 设备 : 日 志 审 计 与 分 析 设 备 1 人 台 。 
。 EHL im: Windows XP 主机 1 人 台 。 


【实验 拓扑 】 
日 志 审 计 与 分 析 系 统 事件 查询 实验 拓扑 图 如 图 5-37 所 示 。 


管理 机 : 10.70.25.22/24 
(以 实际 IP 地 址 为 准 ) 


图 5-37 日 志 审 计 与 分 析 系 统 事件 查询 实验 拓扑 图 


WXP 虚 所 机 : 172.16.8.100/24 


【实验 思路 了 


CD 登录 WXP 虚拟 机 向 日 志 服 务 器 发 送 防火 墙 日 志 。 
(2) 以 管理 员 admin 用 户 的 身份 登录 日 志 审 计 与 分 析 系 统 。 
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(3) 通过 “事件 查询 "模块 查询 事件 。 
(4) 双击 查看 事件 信息 。 


(Do AE MEH mÆ iir Xshell 图 标 , 打 开 Xshell。 

(2) 在 会 话 框 中 单 击 “ 新 建 ”" 按 钮 ,创建 新 的 会 话 。 

(3) 在 “主机 ” 栏 中 输入 日 志 审 计 与 分 析 系 统 GE1 接口 的 IP 地 址 “10. 70. 25. 88”, 其 
他 设置 保持 不 变 , 单 击 “ 确 定 ” 按 钮 。 

CA) 新 建 的 会 话 会 在 “所 有 会 话 ” 中 显示 ,选中 “新 建 会 话 ”, 单 击 “ 连 接 ” 按 钮 。 

(5) 单 击 “一 次 性 接受 ”按钮 。 

(6) 在 “请 输入 登录 的 用 户 名 ”一 住 中 输入 用 户 名 admin, 单 击 “ 确 定 ” 按 钮 。 

CD 在 “密码 ” 栏 中 输入 密码 “@1fw#2soc$ 3vpn”, 单 击 “ 确 定 ” 按 钮 。 

(8) 成 功 登 录 日 志 审 计 与 分 析 系 统 后 台 。 

(9) 输入 命令 “secfox -e ethl -p 172. 16. 8. 60 -m 255. 255. 255. 0" , 设置 日 志 审 计 与 
分 析 系 统 GE2 接口 的 IP 地 址 。 其 中 ,“172. 16. 8. 60" Œ GE2 口 的 IP 地 址 ,“255. 255. 
255.0” 是 GE2 H WFE., t Enter 键 ,出 现 “modify ip ...” ,说 明 接 口 信息 配置 成 功 。 

(10) 打开 浏览 器 ,在 地 址 栏 中 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “https://10. 70. 
25. 88”, 单 击 “ 继 续 浏 览 此 网 站 ”, 打 开平 台 登 录 界 面 。 

(11) 输入 管理 员 用 户 名 /密码 “admin/11fw(@@2soc# 3vpn”, 单 击 “登录 ”按钮 ,登录 日 

(12) 系统 设置 的 密码 有 效 期 为 7 天 , 当 登 录 系 统 后 收 到 更 改 密码 提示 时 , 单 击 “ 确 
定 ” 按 钮 ,更 改 系 统 密码 。 

(13) 在 “原始 密码 ”一 栏 输入 原始 密码 “11fw@2soc# 3vpn”。 在 “新 密码 ”一 栏 输入 
“11fw(@2soc# 3vpn”, 与 原始 密码 相同 。 在 “确认 新 密码 ”一 柱 输 入 “11fw(@ 2soc # 
3vpn”, 单 击 “ 确 定 ” 按 钮 。 

(14) 单 击 浏览 右 中 的 “工具 ”兼容 性 视图 设置 ”。 

(15) 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “https://10.70.25. 88”, 单 击 “ 添 加 ”按钮 ， 
is JI P9 n Ae RE PE K 。 

(160 单 击 “关闭 ”按钮 ,退出 设置 。 

(17) 进入 日 志 审 计 与 分 析 系 统 后 , 单 击 " 系 统一 "系统 维护 ”, 可 看 到 系统 ”IP 地址 配 
置 1” 为 “172. 16. 8. 60”。 

(18) 将 管理 机 时 间 与 日 志 审 计 与 分 析 系 统 时 间 统 一 。 在 日 志 审 计 与 分 析 系 统 中 , 单 
击 “ 系 统 ”>“ 系 统 维护 ”, 接 着 单 击 * :时 间 校 对 设置 > 框 中 的 : 手动 校 时 ?选项 。 

(19) 单 击 "时间 ? 一 栏 的 钟表 图 案 。 

(20) 选择 与 管理 机 统一 的 时 间 。 

(21) $h BE RES EMI GB ER. 

(22) 单 击 “修改 时 间 ”, 完 成 日 志 审 计 与 分 析 系 统 时 间 的 手动 修改 。 

(23) 修改 成 功 后 ,系统 会 跳 转 至 登录 界面 ,重新 输入 用 户 名 /密码 “admin/11fwG@ 
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2soc 井 3vpn”, 登 录 日 志 审 计 与 分 析 系 统 。 
(24) 重新 登录 后 ,查看 系统 界面 右 下 方 的 时 间 ,与 管理 机 时 间 相 同 。 
(25) 登录 实验 平台 ,打开 虚拟 机 WXP, 对 应 实验 拓扑 中 的 右 侧 设备 ,如 图 5-38 


GEI: 10.70.25.88 


管理 机 : 10.70.25.22/24 | 
L AEE WXP 虚 拟 机 ， 172.16.8.100/24 


图 5-38 打开 虚拟 机 


(26) 进入 虚拟 机 后 ,为 保证 日 志 审 计 与 分 析 系 统 收 到 的 日 志文 件 时 间 与 虚拟 机 时 间 
一 致 ,首先 查看 虚拟 机 的 系统 时 间 与 管理 机 的 系统 时 间 是 否 一 致 ,如 果 不 一 致 , 则 双击 虚 
拟 机 界面 右 下 角 的 时 间 进 行 调 整 。 

(27) 根据 管理 机 时 间 对 虚拟 机 时 间 进 行 调整 ,时间 确定 后 单 击 “ 确 定 ” 按 钮 。 

(28) 进入 虚拟 机 票面 ,打开 有 困 面 上 的 “实验 工具 ”。 

(29) 单 击 文件 夹 UDPSender。 

(30) UDPsender 是 模拟 防火 墙 日 志 发 送 的 工具 ,双击 图 标 *“UDPsender. exe”, 打开 
文件 夹 中 的 日 志 发 送 工具 。 

(31) 配置 日 志 发 送 的 相关 信息 ,“ 协 议 ” 设 置 为 Syslog. “方式” 设置 为 “ 按 速 度 发 送 ”， 
“速度 ”输入 5, 然 后 单 击 "初始 化 通信 ”。 

(32)“ 消 息 来 源 ? 设 置 为 "从 文件 2 , 单 击 “...” 按 钮 ,选择 目标 日 志文 件 。 

(33) 在 查找 范围 中 的 “桌面 "进入 “实验 工具 ”目录 , 单 击 UDPSender 文件 夹 。 

(34) 进入 logfiles 进行 日 志文 件 选 择 , 本 实验 选择 “FW_LOG_DEOM. log”, H% ih 
i x 

(35) 在 目标 闯 设 置 中 ,选中 序号 为 0 的 目标 , 单 击 " 编 辑 " 按 钮 。 

(36) 将 “目的 卫 地 址 ?设置 为 “日 志 服 务 吾 的 IP 地 址 ,本 实验 设置 为 "172. 16. 8. 
60" im O i B 514, 

(37) 完成 设置 后 ,核对 信息 配置 是 否 正 确 . A76 S IG TEL. 

(38) 完成 日 志 发 送 过 程 后 ,按照 步骤 (1) ,在 管理 机 上 登录 日 志 审 计 与 分 析 系 统 平 
台 ,依次 单 击 “ 资 产 ”>“ 资 产 日 志 ”, 如 图 5-39 所 示 。 

(39) 选中 资产 地 址 “172. 16. 8. 100”, 单 击 “ 允 许 接收 ”和 “ 尼 用 ”按钮 ,以 允许 日 志 审 
计 与 分 析 系 统 接收 日 志 3E HI Ze EVE] 5-40 Bron. 


【实验 预期 


(1) 通过 “事件 查询 ”功能 可 以 查询 到 事件 。 
(2) 双击 事件 查看 相关 信息 。 


第 5 章 日 志 存 储 与 分 析 me 


WI 系统 日 志 


CQ Cp Cg Ch Ch- Ca Q udi 
EI. 
ECL 
-O 服务 器 


图 5-39 进入 资产 日 志 界 面 


图 5-40 ”管理 资产 日 志 


【实验 结果 】 


(1) 在 管理 机 中 重新 登录 日 志 审 计 与 分 析 系 统 平 台 , 依 次 单 击 “ 事 件 ” 一 “事件 查询 ”， 
如 图 5-41 所 示 。 

I$, SecFoxLAS | — 

à; Qim Jar [C 3e] home (7 mm 


^ WO 事件 > 事件 查询 
HESA SEMEN 


接收 时 间 


图 5-41 进入 事件 查询 


(2) 进入 “事件 查询 ”界面 后 ,可 以 看 到 有 3 个 页 面 ,分 别 是 “普通 查询 ”模糊 查询 ”和 
“查询 结果 ”( 使 用 “普通 查询 ”或 “模糊 查询 ”查询 后 出 现 ) ,如 图 5-42 所 示 。 

(3) 在 “普通 查询 ”中 ,可 以 通过 “接收 时 间 ”“ 设 备 地 址 ”“ 源 地 址 ”和 “目的 地 址 ”等 关 
键 字 对 事件 进行 查询 ,可 根据 需要 进行 选择 ,本 实验 通过 “接收 时 间 ” 对 事件 进行 查询 操 
作 。 单 击 右 侧 的 按钮 ,设置 开始 时 间 为 ”2017-12-11 20:40;00”, 结 束 时 间 为 “2017-12-12 
20 :40:00”, 具 体 时 间 参 数 应 根据 实际 实验 时 间 而 定 , 如 图 5-43 所 示 。 

(4) 配置 参数 完成 后 , 单 击 界面 下 方 的 “查询 ”, 如 图 5-44 所 示 。 

(5) 在 事件 查询 的 结果 中 可 以 看 到 刚刚 从 虚拟 机 中 发 送 过 来 的 日 志文 件 , 均 是 在 查 
询 时 间 段 内 发 送 过 来 的 日 志 , 如 图 5-45 所 示 。 
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日 志 审计 与 分 析 实验 指导 ”RSS 


A! p017-12-11 204000 D) ( 部 果 日 去 量 芒 二， 导 量 下 用 小 的 时 间 这 二 行 可 间 ， 吕 让 理 刘 5 分 搞 同 的 事件 ，) 
sexti : PO17-12-12 20-40-00 A 
E A O E 


EPR, PR : 102.158.0.1] 
(EE MEET. ERI ; 197.168.0.1] 
(E-555 
[E — — Bin : 102.16 
(HI5u1 «65535812 6€) 
CERE  Rupd0 50.10 13E10.50 10.254 c:51P ; ZERND]. B 


Here ^ e S., D 55 553.8 


5-42 事件 查询 界面 


开始 时 间 : 一 12-11 20:40:00 
mmn 


© 时 间 升 序 De a o 时 间 降 序 ( 默认 为 时 间 升 序 ， 时 间 降 序 效率 较 低 ,请 耐心 等 竺 ) 


图 5-43 ”配置 事件 查询 参数 


Fperra : 2017-12-13 20:40: H0 C [并 早日 去 时 较 坟 ， 尽 量 平 用 小 的 时 间 忆 进行 可 词 ， 既 认 查阅 5 分 神 内 的 市 尾 ，] 
adeps] : 2017-12-12 20:40: 00 E 


[ EEULSSETIBITEBR . HAERE. E 】 


{ 应 为 正 栈 的 TIP 地 址 粘 坏 . BER] ; 102.168.0.1) 
i RRESTPHREHIEZC . PRO ; 197, 168.0. 1) 
131-55535 0897) 
Ert (ErugEnRESIPHREHEIT , RUE]: 102.168.0.1) 
Bus] | i51-65535 
GREE  EjBHhkE GEAR LA TIPREIPOR . RARE i 5 10.70 


Tini ^en L4 US" a., PRI: 10.70, 18.35, 10.50. 10.0 , tEEEERTPERU ERE 1: d iiir OA, fuf 10.50,10.12810,.540.10.254 502 IP ; ARDT. EIE L TER RT LEER ALERT 
FHD | 


s pecca 
HaT I 


[v] gium 
LEE 
O eg 


IHE] 


NE. 


[]zm 


图 5-44 配置 事件 查询 参数 


(6) 双击 任意 日 志文 件 , 即 可 在 下 方 显 示 该 日 志文 件 的 相关 信息 ,可 以 看 到 接收 时 间 
为 “12-12 20:13:24”, 确 为 规定 时 间 内 的 事件 ,如 图 5-46 所 示 。 

CO 除了 “普通 查询 ”, 事 件 查 询 方式 还 有 “模糊 查询 ”。“ 模 糊 查 询 ” 相 比 “ 普 通 查 询 ” 
来 说 ,查询 范围 更 加 宽泛 ,只 有 “接收 时 间 ””“ 关 键 字 ”和 “设备 IP” 三 个 查询 条 件 , 读 者 只 须 
了 解 , 本 实验 不 再 演示 ,如 图 5-47 所 示 。 


(8) 综 上 所 述 , 日 志 审 计 与 分 析 系 统 可 以 通过 “接收 时 间 ” 和 “设备 IP" AE OR BEES] EE 
收 的 事件 进行 查询 和 靖 选 。 
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图 5-45 事件 查询 结果 
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devid-3 dname-"WH-FW-ZGW-l" date-" 2017-11-21 19:45:24" alme i pri-warning sip-10.84,242.93 dip-Z7.2E.108.212 sport-17776 doort-48001 proto-UDP szone-Ins da dzone-ecutside aponame- esmame- ht rum-10 action- drap fram 
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图 5-46 日 志文 件 信 息 


| 事件 » MEA 
苦 通 查询 | dignus 
接收 时 间 


模糊 查询 界面 


图 5-47 


【实验 思考 】 


硅 需 要 查询 所 有 防火 墙 设备 在 最 近 24 小 时 内 的 日 志 , 应 当 


+A 


39 


【实验 目的 】 


日 志 审 计 与 分 析 系 统 可 以 对 资产 日 志 进 行 沪 理 ,对 一 段 时 间 内 未 收 到 日 记 的 次 
告 壹 提示 信息 ,并 设置 告 壹 规则 对 告 上 壹 事件 进行 查询 。 


如 何 调 整 查询 参数 ? 


审计 与 分 析 系 统 后 餐 设 置 及 查询 实验 


产 提 


日 志 管 理 .接受 间隔 告警. 告警 规则 告警 查询 。 
[3:99 25 5: ) 


A 公司 为 了 更 好 监控 公司 防火 墙 的 工作 状态 ， he 
备 进行 持续 的 日 志 收 集 , 当 没 有 收集 到 防火 墙 日 志 时 , 便 进行 告警 ,并 可 以 对 相应 的 告 细 
事件 进行 查询 。 请 思考 应 如 何 操作 。 

【实验 原理 】 


日 志 审 计 与 分 析 系 统 可 以 对 资产 日 志 进 行 管理 ,对 于 添加 的 资产 ,系统 默认 对 资产 日 

志 拒 绝 接收 ,管理 员 用 户 对 需要 接收 日 志 SEU A T i 并 设置 资产 的 告警 时 
间 国 值 。 管 理 员 用 户 可 单 击 “ 资 产 ” 一 “资产 日 志 ”, 对 资产 日 志 进 行 管理 并 设置 接收 间隔 
告警 。 对 于 资产 日 志 接 收 状 态 告警 ， tp A E 
查询 。 

【实验 设备 】 

。 安全 设备 : 日 志 审 计 与 分 析 设 备 1 台 。 

。 EHL m: Windows XP 主机 1 8. 


【实验 拓扑 】 
日 志 审 计 与 分 析 系 统 告警 设置 及 查询 实验 拓扑 图 如 图 5-48 所 示 。 


GEI: 10.70.25.88 


管理 机 : 10.70.25.22/24 
(以 实际 IP 地 址 为 准 ) WXP 虚 所 机 : 172.16.8.100 


图 5-48 日志 审计 与 分 析 系 统 告警 设置 及 查询 实验 拓扑 图 


【实验 思路 】 


(1) 配置 日 志平 台 网 络 接口 。 

(2) 登录 WXP 虚拟 机 向 日 志 服 务 器 发 送 防 火 墙 日 志 。 

(3) 以 管理 员 admin 用 户 的 号 份 登录 日 志 审 计 与 分 析 系 统 。 
(D 允许 接收 资产 日 志 并 启用 “是 否 告警 ”。 

(5) 停止 发 送 日 志 并 查看 告警 信息 。 


【实验 步骤 了】 


(1) EE HEH miir Xshell 图 标 ,打开 Xshell。 
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(2) 在 会 话 框 中 单 击 “新 建 ? 按 钮 ,创建 新 的 会 话 。 

(3) 在 “主机 ” 栏 中 输入 日 志和 审计 与 分 析 系 统 GEI 接口 的 IP 地 址 10. 70. 25. 88”( 以 
实际 IP 地 址 为 准 ) ,其 他 设置 保持 不 变 , 单 击 “确定 ?按钮 。 

(4) 新 建 的 会 话 会 在 “所 有 会 话 ” 中 显示 ,选中 “新 建 会 话 ”, 单 击 “ 连 接 ” 按 钮 。 

(5) 单 击 “ 一 次 性 接受 ”按钮 。 

(6) 在 “请 输入 登录 的 用 户 名 ”一 位 中 输入 用 户 名 admin, 单 击 “ 确 定 ” 按 钮 。 

(7) 在 “密码 ” 栏 中 输入 密码 “@1fw 划 2soc$ 3vpn”, 单 击 “ 确 定 ” 按 钮 。 

(8) 成 功 登 录 日 志 审 计 与 分 析 系 统 后 台 。 

(9) 输入 命令 “secfox -e ethl -p 172. 16. 8. 60 -m 255. 255. 255. 0" , 设置 日 志 审 计 与 
分 析 系 统 GE2 接口 的 IP 地 址 。 其 中 ,“172. 16. 8. 60" & GE2 FH fj IP 4b db. “255. 255. 
255. 0” GE2 口 的 子 网 掩 码 。 按 Enter BE. H1 “modify ip ...” ,说 明 接 口 信息 配置 成 功 。 

(10) 打开 浏览 器 ,在 地 址 栏 中 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “https://10.70. 
25. 88( 以 实际 IP 地 址 为 准 )”, 单 击 “ 继 续 浏 览 此 网 站 ”按钮 ,打开 平台 登录 界面 。 

(11) 输入 管理 员 用 户 名 / 密 但 “admin/1lfw(O2soc 井 3vpn”, 单 击 “ 登 录 ?” 按 钮 ,登录 日 
六 审计 与 分 析 系 统 。 

(12) 系统 设置 的 密码 有 效 期 为 7 天 , 当 登 录 系 统 后 收 到 更 改 密码 提示 时 , 单 击 “ 确 
定 ” 按 钮 ,更 改 系统 密码 。 

(13) 在 “原始 密码 ”一 栏 输入 原始 密码 “1!1fw@2soc#3vpn”。 在 “新 密码 ”一 栏 输入 
"I1fw(22soc # 3vpn” ,与 原始 密码 相同 。 在 “确认 新 密码 ”一 栏 输入 “11fw(GO2soc # 
3vpn”, 单 击 “ 确 定 ” 按 钮 。 

14) 单 击 浏览 器 中 的 “工具 ”一 “兼容 性 视图 设置 ”。 

(15) 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “https://10.70.25. 88”, 单 击 “ 添 加 ”按钮 ， 
is JI P9 o Ae EE PE LAT, 

(160 单 击 “ 关 闭 ” 按 钮 ,退出 设置 。 

(17) 进入 日 志 审 计 与 分 析 系 统 后 , 单 击 “ 系 统 ”>“ 系 统 维护 ”, 可 看 到 系统 “IP 地 址 配 
置 1” 为 “172. 16. 8. 60”。 

(18) 将 管理 机 时 间 与 日 志 审 计 与 分 析 系 统 时 间 统 一 。 在 日 志 审 计 与 分 析 系 统 中 , 单 
击 “ 系 统 ”>“ 系 统 维 护 ”, 接 着 单 击 “时 间 校 对 设置 ” 框 中 的 “手动 校 时 ”选项 。 

(19) 单 击 “ 时 间 ” 一 柱 的 钟表 图 案 。 

(20) 选择 与 管理 机 统一 的 时 间 。 

(21) 单 击 屏 和 项 空 晶 处 ,退出 设置 。 

(22) 单 击 “修改 时 间 ”, 完 成 日 志 审 计 与 分 析 系 统 时 间 的 手动 修改 ， 

(23) 修改 成 功 后 ,系统 会 跳 转 至 登录 界面 ,重新 输入 用 户 名 /密码 “admin/11fwG@ 
2soc 井 3vpn”, 登 录 日 志 审 计 与 分 析 系 统 。 

(24) 重新 登录 后 ,查看 系统 界面 右 下 方 的 时 间 ,与 管理 机 时 间 相 同 。 

(25) 登录 实验 平台 ,打开 虚拟 机 WXPSP3 ,对 应 实验 拓扑 中 的 右 侧 设备 ,如 图 5-49 
所 示 。 

(26) 进入 虚拟 机 后 ,为 保证 日 志 审 计 与 分 析 系 统 收 到 的 日 志文 件 时 间 忆 虚拟 机 时 间 
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E H iao j ww 到 E 玫 间 o 间 天 


GEI: 10.70.25.88 


管理 机 : 10.70.25.22/24 
(以 实际 IP 地 址 为 准 ) WXPSP3 虚 拟 机 : 172.16.8.100 


图 5-49 打开 虚拟 机 


一 致 ,首先 查看 虚拟 机 的 系统 时 间 与 管理 机 的 系统 时 间 是 否 一 致 ,如 条 不 一 致 , 则 双击 虚 
拟 机 界面 右 下 角 的 时 间 进 行 调整 。 

(27) 根据 管理 机 时 间 对 虚拟 机 时 间 进 行 调 整 ,时 间 确 定 后 单 击 “确定 ”按钮 。 

(28) 进入 虚拟 机 果 面 ,打开 果 面 上 的 “实验 工具 ”。 

(29) 单 击 文件 夹 UDPSender。 

(30) UDPsender 是 模拟 防火 墙 日 志 发 送 的 工具 ,双击 图 标 *“UDPsender. exe”, 打 开 
文件 夹 中 的 日 志 发 送 工具 ， 

(31) 配置 日 志 发 送 的 相关 信息 , “协议 ”设置 为 Syslog， 方 式 ? 设 置 为 “ 按 速度 发 送 ”， 
“速度 "输入 5, 然后 单 击 “初始 化 通信 ”。 

(32)“ 消 息 来 源 " 设 置 为 “从 文件 ”, 单 击 “...” 按 钮 ,选择 目标 日 志文 件 ， 

(33) 在 查找 范围 中 的 “时 面 " 上 进入 “实验 工具 "目录 , 单 击 UDPSender 文件 来。 

(34) 进入 logfiles 进行 日 志文 件 选 择 ,本 实验 选择 “FW_LOG_DEOM. log”, 上 髓 单 击 
“打开 ”按钮 。 

(35) 在 目标 妆 设 置 中 ,选中 序号 为 0 的 目标 , 单 击 " 编 各 "按钮 。 

(36) 将 目的 IP 地 址 设置 为 “日 志 服 务 器 的 IP 地 址 ,本 实验 设置 为 "172. 16. 8. 60", 
m O E14. 

(37) 完成 设置 后 ,核对 信息 配置 是 否 正 确 , 然 后 单 击发 送 ” 按 钮 。 

(38) 完成 日 志 发 送 过 程 后 ,按照 步 又 (1) ,在 管理 机 中 登录 日 志 审 计 与 分 析 系 统 平 
台 ,依次 单 击 “资产 ”>“ 资 产 日 志 ”, 如 图 5-50 所 示 。 


G G a GGA 


c3 3$ 
-O da 
-O 服务 器 


图 5-50 ”进入 资产 日 志 界 面 
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(39) 选中 资产 地 址 172. 16. 8. 100”, 单 击 “ 人 允许 接收 2 和 ”局 用 "按钮 ,以 允许 日 志 审 
Yr ^3 4r Br A& BC BEMCH zs EIS H Ie ERE Ln ÉD 5-51 所 示 。 


图 5-51 管理 资产 日 志 


间 隅 为 1 天 ,在 本 实验 中 将 其 设置 为 1 分 


(40) 修改 “配置 告警 间隔 ” ,系统 默认 告 这 
钟 , 以 便于 观察 实验 结果 ,如 图 5-52 所 示 。 


D dc 资产 日 志 > 资产 日 志 管理 
局 允许 接 局 拒 笔 接收 mem RPS | KRESSA 


BET ES nlla 


E —— ] O 天 O 〇 小 [加 人 名 


E 
告警 时 间 阔 值 必 须 为 非 负 整数 ,并 且 长 度 不 能 超过 10 
系统 献 内 吝 和 警 时间 | 为 1 大 ， 冯 资产 接收 刊 的 最 近 一 条 日 志 与 等 统 忆 前 时 间 的 间 隐 起 过 1 大 时 将 自动 香 警 。 


图 5-52 ”配置 告警 间隔 


【实验 预期 】 

(1) 日 志 审 计 与 分 析 系 统 成 功 接 收 到 日 志文 件 。 

(2) 在 停止 发 送 日 志文 件 后 ,系统 会 进行 告警 ,查看 相关 告警 信息 。 

(3) 通过 配置 告警 规则 对 产生 的 告警 进行 查询 。 

【实验 结果 】 

(1) 登录 实验 平台 对 应 实验 拓扑 右 侧 的 WXP 虚拟 机 ,如 图 5-53 所 示 。 


GEI: 10.70.25.88 


管理 机 : 10.70.25.22/24 ——— 


(以 实际 IP 地 址 为 准 ) WXP 虚 拟 机 : 172.16.8.100 


图 5-53 进入 虚拟 机 WXP 


(2) 停止 发 送 日 志 , 在 UDPsender X mg a^ f IE" TEL, 

(3) 从 管理 机 登录 日 志 审 计 与 分 析 系 统 , 单 击 “ 事 件 ”>“ 实 时 监视 ”, 如 图 5-54 所 示 。 

(4) 单 击 “实时 监视 ”关联 告警 事件 ”, 查 看 系统 告警 ,如 图 5-55 所 示 。 

(5) 如 果 不 能 看 到 事件 的 话 ,可 以 单 击 “属性 ?并 设置 时 间 ,如 图 5-56 所 示 。 

(6) 默认 是 只 显示 5 分 钟 的 事件 ,超过 5 分 钟 就 看 不 到 了 ,可 以 将 时 间 设 置 得 长 一 
点 ,设置 为 5 天, 单 击 “ 确 定 ” 按 钮 ,如 图 5-57 所 示 。 
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uu 日 去 审计 与 分 析 实 验 指 性 ”IE 


O 事件 > 实时 监视 > 关联 告警 事件 


实时 监视 | Et 


Gjimfieele AZT ASF EAn A om 
130 
65 


CO iE 


图 5-54 进入 实时 监视 


2 H 事件 3 实时 监视 ARANE 
zien më 


Giper AEn AE EARN 总 97 $55 Aea pee Qoo Amie MEttB Bus" 
20 
10 


EEE HEEi Se PFR 
[^ 04-13 19:02:00 Bm Ane 
[^ 04-13 19:02:00 rBEmeWImE*€ 


ese 
172.165.8.100 
172.16.8.100 


图 5-55 ”查看 告警 事件 


Get ET Agel Emm dU 分配” 会 导出 Ges em Quo oae Dieem 图 调查 
20 
10 


5-56 进入 属性 界面 


EE Tm Xais Tuss 
DRHE ERIRE EA ATE 


E E 
muaa S [A 


3c Bis MEERE Pe P] PUR ANLE HF d SS EI SES RE 


图 5-57 设置 时 间 
(7) 单 击 系统 发 出 的 告警 事件 ,可 以 查看 基本 信息 ,包括 告警 时 间 .告警 原因 等 。 通 
过 查看 可 以 确定 告 司 原因 为 超过 一 分 钟 未 接收 到 该 设备 的 日 志 , 但 接收 到 告警 的 时 间 超 


过 了 一 分 钟 , 可 知 系 统 由 于 目 身 原因 无 法 准确 提供 告警 ,但 依然 可 以 根据 告警 原因 寻求 解 
决 方案 ,如 图 5-58 所 示 。 


(8) 进行 告 导 规 则 的 配置 , 单 击 “ 规 则 ?一 ”告警 规则 ”, 进 入 规则 列表 ,如 图 5-59 
Bra. 


(9) 本 实验 之 前 产生 的 告警 是 “资产 日 志 接 收 状态 告警 ”, 现 在 选中 “资产 日 志 接收 状 
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151349191900002 
13133919190000 
12-17 14:25:19 


ü 
14-17 14:25:19 
g 


0 
172.16.8.100 
**o€* 


HE$£SR/BEAEICESM 

172.16.8.100 

Sefo LAS 20170705 172 

type- Threshald priarity-alert module-EventWatchService msg EI 


图 5-58 查看 告警 事件 信息 


IS SecFox-LAS \ 
mim — fizm gar (ume [om 


gm COEUR Xx 


日 志 存 储 与 分 析 mem 


梧 系统 日 志 


4 ^ dm» eA» 通用 规 风 组 》 规 由本 到 
jum 45x dme Bgl Bass ASA f 


O 规则 名 称 

[] 告警 test 

[] 磁盘 备份 异常 告警 

O 磁盘 宝 间 告警 

O 系统 自身 数据 库 表 损 坏 

O 资产 日 志 接 收 状态 告警 

[Lj] 身份 鉴别 和 失败 超过 阅 值 告警 


图 5-59 配置 告警 规则 
仿 告 警 " 复 选 框 , 单 击 "局 用 ”按钮 ,如 图 5-60 所 示 。 
中 规则 ASAU > ARRA > RAR 


创建 时 间 


ER d m 
LU EA 


党 it 1 


2017-12-20 14:18:45 
2012-05-11 14:35:28 
2012-05-11 14:35:28 
2009-08-14 17:26:00 
2013-08-29 10:44:20 


2015-05-12 19:07:40 


图 5-60 局 用 告警 规则 


(10) 设置 告警 规则 的 时 间 ,选中 “资产 日 志 接 收 状 态 告 型 
如 图 5-61 所 示 。 


D 规则 > SSA ARNA > 规则 列表 
Pam Aee BET Game 页 导入 & su dis ASA 


EI 
自 定义 
自 定义 
自 定义 
自 定义 
自 定义 
自 定义 


设置 告警 规则 的 时 间 


资产 日 5 
O 身份 鉴别 失败 起 过 阅 信 告警 


S & $ $ $$ 


图 5-61 


"E YE Rab ME PU TH. 


是 否 启 用 ”创建 时 间 


2017-12-20 14:18:45 
2012-05-11 14:35:28 
2012-05-11 14:35:28 
2009-08-14 17:26:00 
2013-08-29 10:44:20 
2015-05-12 19:07:40 
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(11) 单 击 “计数 ”按钮 ,将 “时 间 范 围 ” 设 置 为 5 天 ,如 图 5-62 所 示 。 


规则 > 告警 规则 > 通用 规则 组 》 资 产 日 志 接 收 拭 太 告警 


[e (Cs ]| ae | 


eB PEXI 


ssal lmuaumb | 天 yY 


图 5-1 设置 时 间 范 围 


(12) 单 击 “ 告 眶 查询 ”, 对 告 餐 事件 进行 查询 ,如 图 5-63 所 示 。 


图 5-63 ”告警 查询 


(13) 局 用 告警 规则 后 ,查询 结果 就 会 显示 在 “告警 查询 ”中 ,查看 告警 查询 结果 , 如 
图 5-64 所 示 。 


POVERI 12 1: 
pats- Mep ww Esati- Banii 
一 : = LT amit 


Asama sipmeei ESSE EH Bl: 2018-04-13 19:02:00:2 8:5. 2X PEE HE: AES. null fe RI 
— Tt : : + -二 ET -—- PES: ;目的 地 址 : ;E i null ded :172.16.8.100; 8598 e 10312 8 : riui; EE RR REC AER Cy e - Threshol 
r & 2018-04-13 19:02:00 SPEEAEESEES sri a priority=alart modulaEventWatchSarvica msg 7 172.16.08.100 已 超过 159 SENE. WË 


BEANS APEIROS WOES PHI KI 2018-04-13 18:47:45; ema 2; gest BRL nu RER 
NN i 可 本 [I :目的 地 址 : niil Hd: 172. 100; Er rci pes ü 
JF K^ 201804131847:45 — RAETAWUSAE : d prerity-alert module-tv mei M rich Seriem ma om 172.15.5.100 己 直 过 12994 ESOT. Wit 


TI BEBE MERE : 2018-04-13 18: a cae 2; EE FAO null; - " 
4 12-27. E - | Pen: Elek: ENAT nulli 172.16.98.100 ESE EmBcE:t,ne-Threshol = 
r "M meeeciinc TAM perc TM d priority-alert module-EventWatchservice meg 7 172.16.8.100 已 起 过 149$$ BE. gw 
n 


图 5-64 JH EREEYAG AR 


(14) 综 上 所 述 ,日 志 审 计 与 分 析 系 统 可 以 对 资产 日 志 进 行 管理 ,配置 告警 间隔 ,并 可 
以 对 告警 规则 进行 设置 ,使 用 告警 规则 进行 查询 。 


【实验 思考 】 
若 需 要 设置 资产 每 天 都 需要 收 到 日 志 , 否 则 产生 告警 ,应 该 如 何 调整 ? 


5.6 志 审 计 与 分 析 系 统 过 滤 钴 实验 


【实验 目的 】 


日 志 审 计 与 分 析 系 统 中 存在 过 滤器 模块 ,可 以 生成 规则 作为 事件 或 日 志 的 筛选 条 件 。 
本 实验 通过 对 过 滤器 的 添加 和 使 用 ,实现 对 事件 的 饥 选 。 
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【知识 后】 
过 滤器 .事件 过 滤 。 
【实验 场景 】 


A 公司 的 日 志 审 计 与 分 析 设备 由 安全 运 维 工程 师 小 王 负责 。 小 王 需要 在 每 天 早晨 
对 前 一 天 所 有 的 防火 墙 事件 进行 统计 ,但 是 由 于 事件 数据 量 比较 大 ,小 王 希 望 可 以 快速 查 
找到 想 要 的 数据 。 小 王 决 定 引用 日 志 审 计 与 分 析 系统 中 的 过 滤器 来 进行 查询 统计 。 请 思 
考 应 如 何 设置 过 滤器 。 

【实验 原理 】 


日 志 审 计 与 分 析 系 统 的 “过 渡 帮 ”模块 对 过 滤 带 进行 统一 省 理 , 此 处 定义 的 过 小 冀 可 
以 在 别处 筱 引用 。 用 户 可 以 单 击 " 规 则 ”一 "过滤 关 ”, 进 行 过 滤 表 添加 ,并 通过 使 用 过 涯 天 
对 日 志 系 统 接 收 的 事件 进行 过 滤 。 


【实验 设备 】 


。 安全 设备 : 日 志 审 计 与 分 析 设 备 1 台 。 
。 主机 终端 Windows XP 主机 1 台 。 


【实验 拓扑 】 
日 志 审计 与 分 析 系 统 过 滤器 实验 拓扑 图 如 图 5-65 所 示 。 


管理 机 : 10.70.25.22/24 
(以 实际 IP 地 址 为 准 ) WXP 虚 拟 机 : 172.16.8.100/24 


图 5-65 日志 审计 与 分 析 系 统 过 滤 右 实验 拓扑 图 


【实验 思路 】 
(OD 配置 日 志平 台 网 络 接 口 。 
(2) 登录 虚拟 机 问 日 志平 台 发 送 防 火 墙 日 志 。 
(3) 上 传 并 启用 日 志 解 析 文 件 。 
(4) BOE EUER. 
(5) 使 用 过 滤 兹 对 接收 的 日 志 进 行 过 滤 。 
【实验 步 又 】 
d) EE PRL5m Sg Xshell 图 标 , 打 开 Xshell。 
(2) 在 会 话 框 中 单 击 “新 建 ” 按 钮 ,创建 新 的 会 话 。 
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(3) 在 “主机 ” 栏 中 输入 日 志 审 计 与 分 析 系 统 GEI 接口 的 IP 48 3E*10. 70. 25. 88”( 以 
实际 IP 地 址 为 准 ) ,其 他 设置 保持 不 变 , 单 击 “ 确 定 ” 按 钮 。 

(4) 新 建 的 会 话 会 在 “所 有 会 话 ” 中 显示 ,选中 “新 建 会 话 ”, 单 击 “ 连 接 ” 按 钮 。 

(5) 单 击 “一 次 性 接受 ”按钮 。 

(60 在 “请 输入 登录 的 用 户 名 ”一 栏 中 输入 用 户 名 admin, 单 击 “ 确 定 ” 按 钮 。 

(7) fe" ERU" Pi A SER (0 1fw H 2soc $ 3vpn" , Hd; Wake " TEIL, 

(8) 成 功 登 录 日 志 审 计 与 分 析 系 统 后 人 台 。 

(9) 输入 命令 “secfox -e ethl -p 172. 16. 8. 60 -m 255. 255. 255. 0" , 设置 日 志 审 计 与 
分 析 系 统 GE2 接口 的 IP 地 址 。 其 中 ,“172. 16. 8. 60" € GE2 口 的 IP 地 址 ,“255. 255. 
255.0” 是 GE2 口 的 子 网 掩 码 。 按 Enter 键 ,出 现 “modify ip ...”, 说 明 接 口 信息 配置 成 功 。 

(10) 打开 浏览 器 ,在 地 址 栏 中 输入 日 志 审 计 与 分 析 系 统 的 IP 地址 “https://10. 70. 
25. 88”( 以 实际 IP 地 址 为 准 ), 单 击 继续 浏 览 此 网 站 ”按钮 ,打开 平台 登录 界面 。 

(11) 输入 管理 员 用 户 名 /密码 “admin/11fw@2soc#3vpn”, 单 击 “ 登 录 ” 按 钮 ,登录 日 
志 审 计 与 分 析 系 统 。 

(12) 系统 设置 的 密码 有 效 期 为 7 天, 当 登 录 系 统 后 收 到 更 改 密码 提示 时 , 单 击 “ 确 


定 "按钮 ,更 改 系 统 密码 。 


(13) 在 “原始 密码 ”一 栏 输入 原始 密码 “1!1fw@2soc#3vpn”。 在 “新 密码 ”一 栏 输入 
"I1fw(22soc € 3vpn”, 与 原始 密码 相同 。 在 “确认 新 密码 ?一 栏 输入 “11fw@Q@2soc 井 
3vpn”, 单 击 “ 确 定 ” 按 钮 。 

(14) 单 击 浏览 器 中 的 “工具 ”一 “兼容 性 视图 设置 ”。 

(150 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “https://10.70.25.88”( 以 实际 IP 地 址 为 
HE) , 单 击 “添加 ”, 添 加 网 站 兼 容 性 视图 。 

(160 单 击 “关闭 ”按钮 ,退出 设置 。 

(17) 进入 日 志 审 计 与 分 析 系 统 后 , 单 击 “系统 ”一 "系统 维护 ”, 可 看 到 系统 ”"IP 地 址 配 
置 1 为 “172. 16.8.60”, 

(18) 将 管理 机 时 间 与 日 志 审 计 与 分 析 系 统 时 间 统 一 。 在 日 志 审 计 与 分 析 系 统 中 , 单 


击 “ 系 统 ”>“ 系 统 维 护 ”, 接 着 单 击 “时 间 校 对 设置 ” 框 中 的 “手动 校 时 ”选项 。 


(19) 单 击 “ 时 间 ” 一 柱 的 钟表 图 案 。 

(20) 选择 与 管理 机 统一 的 时 间 。 

(21) $h BE mS EI GB ER. 

(22) 单 击 “修改 时 间 ”, 完 成 日 志 审 计 与 分 析 系 统 时 间 的 手动 修改 。 

(23) 修改 成 功 后 ,系统 会 跳 转 至 登录 界面 ,重新 输入 用 户 名 /密码 “admin/11fwG@ 
2soc#3vpn”, 登 录 日 志 审 计 与 分 析 系 统 。 

(24) 重新 登录 后 ,查看 系统 界面 右 下 方 的 时 间 ,与 管理 机 时 间 相 同 。 

(25) 登录 实验 平台 ,打开 虚拟 机 WXP, 对 应 实验 拓扑 中 的 右 侧 设 备 ,如 图 5-66 


所 示 。 


(26) 进入 虚拟 机 后 ,为 保证 日 志 审 计 导 分 析 系 统 收 到 的 日 志文 件 时 间 与 虚拟 机 时 间 


一 致 , 首 移 查看 虚拟 机 的 系统 时 间 己 管理 机 的 系统 时 间 是 否 一 致 ,如 采 不 一 致 , 则 双击 虚 
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EE 05507 日， 


GEI: 10.70.25.88 


管理 机 ; 10.70.25.22/24 
(以 实际 下 地 址 为 准 ) WXP 虚 拟 机 : 172.16.8.100/24 


图 5-66 打开 虚拟 机 WXP 


拟 机 界面 右 下 角 的 时 间 进 行 调整 。 

(27) 根据 管理 机 时 间 对 虚拟 机 时 间 进 行 调整 ,时间 确定 后 单 击 "确定 ”按钮 。 

(28) 进入 虚拟 机 果 面 ,打开 果 面 上 的 “实验 工具 ”， 

(29) 单 击 文 件 夹 UDPSender。 

(30) UDPsender 是 模拟 防火 墙 日 志 发 送 的 工具 ,双击 图 标 *UDPsender. exe”, 打 开 
文件 夹 中 的 日 志 发 送 工具 。 

(31) 配置 日 志 发 送 的 相关 信息 , “协议 ”设置 为 Syslog, “方式 ”设置 为 “ 按 速度 发 送 ”， 
“速度 ”输入 5, 然后 单 击 “ 初 始 化 通信 ”。 

(32)“ 消 上 息 来 源 ? 设 置 为 "从 文件 ”, 单 击 “..… 按钮 ,选择 目标 日 志文 件 。 

(33) 在 查找 范围 中 的 “ 果 面 "进入 “实验 工具 ”目录 , 单 击 UDPSender 文件 夹 。 

(34) 进入 logfiles 进行 日 志文 件 选择 ,本 实验 选择 “FW_LOG_DEOM. log", Hi idi 
“打开 ”按钮 。 

(350 在 目标 端 设 置 中 ,选中 序号 为 0 的 目标 , 单 击 “编辑 ”按钮 。 

(36) 将 “目的 IP 地 址 ”设置 为 日 志 服 务 器 的 IP 地 址 ”, 本 实验 设置 为 172. 16. 8. 
60”, 端 口 设 置 为 514。 

(37) 完成 设置 后 ,核对 信息 配置 是 否 正确 ,然后 单 击 “ 发 送 ” 按 钮 。 

(38) 完成 日 志 发 送 过 程 后 ,按照 步骤 (1) ,在 管理 机 中 登录 日 志 审 计 与 分 析 系 统 平 
台 ,依次 单 击 “ 资 产 ” 一 “资产 日 六” 如 图 5-67 所 示 。 


IS SecFox-LAS 
"d 


Qan [gar] «me amm 门 报表 Cmm xo TRAAG 
4 © BF > 资产 对 旬 
资产 统计 摘要 ”资产 事件 统计 


CQ Cm Ca Ch Ch- C3 Q, a 
C3 me 
-O mda 
-O 服务 器 


图 5-67 进入 资产 日 志 界 面 
(39) 选中 资产 地 址 “172. 16. 8. 100”, 单 击 “ 人 允许 接收 ?和 “启用 ”按钮 ,以 允许 日 志 
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mum 日 去 审计 与 分 析 实 验 指 手 ”ES 


计 与 分 析 系统 接收 日 志 ,并 启用 “是否 告警 ", 如 图 5-68 所 示 。 


H rec Aio umepME 
FILITLIT IM Aun. 


Brit 


E: 
[E 172.16.8.100 


图 5-68 管理 资产 日 志 


(40) 登录 实验 平台 对 应 实验 折 扑 右 侧 的 WXPSP3 虚拟 机 ,如 图 5-69 所 示 。 


管理 机 : 10.70.25.22/24 
(以 实际 地址 为 准 ) WXPSP3 虎 所 机 : 172.16.8.100/24 


图 5-69 进入 右 侧 虚拟 机 WXPSP3 


(41) 在 虚拟 机 中 登录 日 志 审 计 与 分 析 系 统 , 打 开 虚 拟 机 票面 的 火狐 浏览 天 ,如 图 5-70 
所 示 。 


图 5-70 ”打开 浏览 右 


(42) 在 地 址 栏 中 输入 日 志 审 计 与 分 析 产 品 的 IP 地 址 “https://172. 16. 8. 60” ,打开 
平台 登录 界面 。 

(43) 出 现 “ 您 的 连接 不 安全 ”, 单 击 “ 高 级 ”按钮 。 

(44) 在 “高 级 ”设置 中 , 单 击 “添加 例外 ”按钮 。 

(45) 在 弹出 的 “添加 安全 例外 ”的 界面 , 蛙 击 “确认 安全 例外 ”按钮 。 

(46) 添加 安全 例外 后 ,可 以 正常 登录 日 志 审 计 与 分 析 系 统 平台 ,输入 用 户 名 密码 
*admin/ ! 1$w(22soc € 3vpn" , 

(47) 系统 提示 需要 安装 “Adobe Flash Player" , Æ Ss; 7c 200 4c e, Rd «BUH TEL. 

(48) 选择 “系统 ”命令 ,进入 “系统 ”模块 ,如 图 5-71 所 示 。 

(49) 单 击 “ 日 志 解 析 文 件 ”, 进 行 日 志 解 析 文 件 的 导入 ,如 图 5-72 所 示 。 
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图 5-71 “系统 ”模块 
(50) 进入 日 志 解 析 文 件 管理 界面 Rd; SAC" VE 5-73 所 示 。 


系统 
c3 系统 配置 
3C 服务 器 配置 
p 采集 参数 设置 
Za Lh 
ip 安装 Windows 日 志 传 感 器 


[mo . 已 系统 HERRLAG 
CM Dda &su Jmm oem mmi sun 


AS GoogleEar thit E 
p, Hina | SABZMEX 
Eco d 文件 * 
一 出 工具 与 插件 下 载 EL 
Cm 事件 归并 配置 请 选择 要 导入 的 日 志 解 析 支 件 (.xm| 虑 包含 ,xml 的 ,zip 支 件 ) 


图 5-72 进入 日 志 解 析 文 件 图 5-73 导入 日 志 解 析 文 件 


(5D 选择 “桌面 * 上 的 “实验 工具 ”文件 夹 , 如 图 5-74 所 示 。 


号 我 的 文档 
3 我 的 电脑 
GALE 

i EJ Mozilla Firefox 


EREE D. O $m 


sem | o ë 
ACPESSSH (I): 所 有 文件 ~ 


图 5-74 ”选择 “实验 工具 ”文件 夹 
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(52) 选择 “NSG 360WS. xml”, 单 击 “ 打 开 ” 按 钮 ,如 图 5-75 所 示 。 


查找 范围 I); UL 


zr 360WS. xml 
E INSG Legendsec 2017081T.:xml 


xi W: EE 
文件 类 型 多: [所 有 文件 v 


图 5-75 ”选择 日 志 解 析 文 件 


(53) 选择 日 志文 件 完 成 后 , 单 击 “确定 ”按钮 ,如 图 5-76 所 示 。 


系统 > 日 志和 解析 支 件 管理 
ke 使 导出 | ,开户 用 oem Bern sm 


导入 日 去 解析 交 件 


支 件 * NSG_360WS.xml 


Wr HESE ERA BU BESdq xU mka s .smli.zipx tt) 


图 5-76 导入 日 志 解 析 文 件 


(54) 以 同样 的 方式 ,再 次 导入 存放 在 相同 路 径 下 的 日 志 解 析 文 件 “NSG_Legendsec_ 
20170817. xml”, 单 击 “ 确 定 ” 按 钮 ,如 图 5-77 所 示 。 


h^ 系统 > KERAHE 
ESA $ sH 启用 35H Bam 365 


Hide x f 


xf NSG Legendsec, 20170817.xml IK ks 


BEER EP ABS BE PEL «mie ev & .«mlim.zipxctt) 


图 5-77 再 次 导入 日 志 解 析 文 件 


(55) 在 官 理 机 中 登录 日 志 审 计 与 分 析 系 统 平台 ,依次 单 击 “ 系 统 "”> “日记 解析 文 
件 ”, 在 日 志 解 析 文 件 列 表 中 找到 文件 “NSG_360WS” 和 “NSG_Legendsec_20170817”, 单 
击 “ 局 用 ”按钮 ,如 图 5-78 所 示 。 
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图 5-78 启用 日 志 解 析 文 件 


【实验 预期 】 


(1) 创建 新 的 实时 监视 场景 。 

(2) 查看 收 到 的 防火 墙 日 志 。 

(3) 配置 并 在 实时 监视 场景 中 局 用 新 的 过 滤 絮 。 
(4) 查看 过 小 结果 。 


【实验 结果 】 
CD 在 管理 机 中 登录 日 志 审 计 与 分 析 系 统 平台 ,依次 单 击 “事件 ”一 “实时 监视 ”如 
图 5-79 所 示 。 


(2) 新 建新 的 实时 监视 场景 组 , 单 击 “ 添 加 ”按钮 ,在 “名 称 ” 中 输入 “防火 墙 日 志 过 
滤 ”, 如 图 5-80 所 示 。 


实时 监视 EE 


[区 运行 控制 dc AE 
20 
10 


图 5-79 进入 实时 监视 界面 图 5-80 ”添加 新 的 场景 组 


(3) 在 “防火 墙 日 记过 滤 ” 组 中 , 单 击 “ 瀛 加 ”按钮 , 添 加 新 的 实时 监视 场景 ,如 图 5-81 
所 示 。 


O 事件 > 实时 监视 > 防火 境 日 志 过 湾 > 实时 监视 场景 列表 
[kan] Gs GNE Gh BEH xke deu 


[] “名称 IIBER 


图 5-81 添加 新 的 监视 场景 


(4) 为 了 形成 对 比 , 自 先 不 使 用 过 小 冀 , 在 名称 ”中 输入 “防火 墙 日 志 过 滤 ”,“ 过 渡 
A RAN JIE o BOLA Æ E ?调整 为 5 天 , 单 击 “确定 "按钮 ,如 图 5-82 所 示 。 
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(5) 配置 完成 后 ,双击 创建 的 场景 “防火 墙 日 志 过 滤 ”, 如 图 5-83 所 示 。 
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(6) 可 以 看 到 日 记 审 计 与 分 析 系 统 接 收 到 的 防火 墙 日 记 , 如 图 5-84 Bron, 
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(7) 由 上 一 步 可 知 ,接收 到 的 事件 有 很 多 种 ,其 中 有 一 类 名 为 “防火 墙 流 日 
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图 5-82 配置 新 的 监视 场景 


图 5-83 进入 监视 场景 
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的 事 


件 , 接 下 来 通过 配置 以 及 使 用 过 滤 右 ,将 防火 墙 流 日 志 人 贤 选 出 来 , 单 击 “规则 ”一 “过 滤 兹 ”， 
如 图 5-85 所 示 。 
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(8) 新 建 过 滤 需 组 ,在 过 滤 需 组 管理 界面 单 击 “添加 ”按钮 ,在 “名 称 ” 中 输入 “防火 载 
过 滤器 ”, 如 图 5-86 所 示 。 
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图 5-87 添加 过 滤器 


(10) 在 “属性 ”界面 ,在 “过 滤 兹 名 称 ” 中 输入 “防火 墙 日 志 过 滤 ”, 如 图 5-88 所 示 。 
dD 在 “条件 ?界面 中 , 单 击 函数 按钮 “条件” 设置 为 “事件 名 称 ”, “操作 符 ”设置 为 
“一 ”,“ 值 ”输入 “防火 墙 流 日 志 ”, 单 击 “ 添 加 ”按钮 ,如 图 5-89 所 示 。 
(12) SÉ E UE si Bo BUR «EU WE TEL. E] 5-90 所 示 。 
(13) E Fok TEE UE ss Mw. HI E SCHSE US TUS We rp ER dr" SPEI" SCHNE  UU s FÉ dT BU 
创建 的 监视 场景 "防火墙 日 志 过 滤 ”, 如 图 5-91 所 示 。 
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mm 日 去 审计 与 分 析 实 验 指 -和 — me 


© qul» Ha 》 定 计 设备 ee 

| gt || s | 

| iae 
E 


修改 者 


| (ERR 
| xtX 


图 5-88 配置 过 滤器 


图 5-89 ”配置 过 滤器 


d Bm» TE Fiet: BEES 
| Et | zer 
m H4 
O RHR = 防火 培 湾 日 志 


图 5-90 SEMENE Ar Me E 
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章 日 志 存 储 与 分 析 mem 


=i 


s SecFox-LAS 


dum 


全 运行 控制 "” 侈 ) 运行 


di 实时 分 析 
辆 趋势 分 析 


实时 鉴 视 
G C9 Cx Ch- C5 C3 
c3 实时 监视 
H 市 计 
10O 应 用 安全 
H-O 协议 访问 
H 自身 监控 
O RHR 
mE- 


图 5-91 修改 监视 场景 


(14) 单 击 监视 场景 中 的 “属性 ”, 进 入 属性 界面 , 单 击 “ 选 择 ” 下 拉 列 表 , 选 择 * 防 火 寺 
过 滤器 ”中 的 “防火 墙 日 志 过 滤 ”, 单 击 “ 确 定 ” 按 钮 ,如 图 5-92 所 示 。 


+ 事件 > 实时 监视 > MAROTTE > 防火 说 日 志 过 请 
PU NEN. 


ERRAL RE) 


:H--[H 


[EB T) E Ew ERE RIT FRE?) 


H-E 


(EFAA Et) 


1H 


TI-D]-- E 


图 5-92 ”应 用 过 滤器 


(15) 确定 后 , 回 到 实时 监视 界面 ,可 以 看 到 ,在 此 场景 下 收 到 的 日 志 事 件 名 称 均 为 
“防火 墙 流 日 志 ”, 证 明 过 滤 成 功 , 如 图 5-93 所 示 。 


* "HE DEEN o MAAHI o MED 
Er MEN :.: 


画 运 和 本 iv dimit d EHA dbi dou] ders Ene Peir dTe | TES | xmv 


ILILIIDI DIDIT 


口 
- 
L1 


四 口 口 口 口 口 口 口 


口 口 口 | 


01-25 14:51:44 
01-25 14:51:44 
üi-25 14:51:45 
gi-25 14:31:45 
01-25 14:51:45 
01-25 14:51:45 
üi-25 14:51:45 
01-25 14:51:44 
01-25 14:51:45 
01-25 14:51:44 
01-25 14:31:45 
01-25 14:51:44 
01-25 14:51:45 
0i-25 14:51:44 
Qi-25 14:31:44 
01-25 14:51:44 
01-25 14:51:44 
ài-25 14:51:44 
01-25 14:51:44 
01-25 14:51:44 


ambo Miti 

[E  110,.151.4.88 
E  INk112.10.123 
E-— — 110.191.4.247 
LL —3i193.21.76 
L—— —110.181.4.58 
L— — 110.199. 21.765 
L—  110.222.20.102 
E —10222.61.37 
局  ]1H.191.134,52 
L— — 110.175.15.240 
L—— —310.222.20.102 
[— — 110,222.20,102 
E  11.148.177.158 
L— — 110.175.11.45 
E 310.119.140.20 
Œ  1H.151.1890.132 
E— — 110.112.2. 106 
E  110.175.15.244 
L————110.222.20.102 
[—  1H.222.20.102 


Bem] Were Hiii 


182.30, 200.166 
14D, 205.218.14 
14.17.73.25 
185,188.32.4 
124, 117.594.243 
I83. 188.324 
150.128.176.123 
183.51. 167.88 
H04, 29, 197.214 
221.219.214.34 
190.128.175.123 
21B5,175.224,113 
119.90.37.167 
117.36.200.29 
180, 139.106.207 
153.172.189,]68 
157.56.142.81 
221.212. 214.34 
21B,173.224.113 
B7.206, 94,55 


Ex] igtur 
123485  172.15.B.100 
172.15.8. MIO 
172.15.8.100 
172.10.B. 100 
172.15.B. 100 
172.1568. 100 
172.15.8.100 
172.18.B. 100 
172.]5.8. HI 
172.158. 100 
172.15.B8.100 
172.15.B. 100 
lr2.15.8. 100 
172.18.B. 100 
172.15.B. 100 
172.]5.B. 100 
172.15.B.100 
172.18.B. 100 
172.18.B.100 
lre.15.8. 100 


图 5-93 查看 过 滤 结 果 
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日 志 审 计 与 分 析 实 验 指导 
(16) 综 上 所 述 ,日志 审 计 与 分 析 系 统 可 以 通过 过 滤器 对 接收 到 的 事件 进行 过 滤 。 


【实验 思考 】 
若 一 个 过 滤器 的 过 滤 条 件 太 过 复杂 ,直接 添加 过 于 麻烦 ,如 何 简化 复杂 的 过 滤器 ? 


57 日志 审计 与 分 析 系统 关联 分 析 告警 实验 


【实验 目的 】 
对 Linux 系统 葵 力 破解 ,通过 日 志 审 计 与 分 析 系 统 对 Linux 系统 日 志 进 行 收 集 , 确 定 
攻击 事件 的 性 质 , 采 取 相 对 应 的 措施 。 
【知识 点 】 
日 志 收 集 .操作 系统 、Linux。 
ETES 
A x n] IJ H a tH d 5 4 r8 HH Eaa E ThE favi. yrHH A 公司 内 部 发 生 
f Linux 系统 被 攻击 的 事件 ,但 无 法 确定 攻击 事件 的 性 质 , 因 此 小 王 需要 收集 Linux 系统 
的 日 志 信 息 , 并 通过 收集 到 的 日 志 , 判 断 攻击 事件 的 性 质 , 以 便 采 取 后 续 防 护 指 施 。 请 思 
考 应 如 何 解决 这 个 问题 。 
【实验 原理 】 
日 志 审 计 与 分 析 系 统 文 持 通过 Syslog 网 络 协议 及 集 Linux 系统 的 日 志 ,Linux 系统 
H A Rsyslog 服务 ,在 收集 日 志 信 息 时 只 须 修 改 配置 文件 ,添加 目的 服务 兹 的 IP 地 址 
及 端口 信息 即 可 。 用 销 误 密码 重复 登录 Linux 系统 ,模拟 又 力 破解 场景 ,依次 单 击 日 志 审 
计 与 分 析 系 统 的 “事件 ”一 “实时 监视 ”一 “接收 的 外 部 事件 ”, 查 看 接收 的 Linux 系统 的 日 
志 信 息 ,判断 攻击 性 质 。 
【实验 设备 】 
。 安全 设备 : 日 志 审 计 与 分 析 设 备 1 侣 。 
。 EHL i: Linux 主机 1 R. 
【实验 拓扑 】 
日 志 审 计 与 分 析 系 统 关 联 分 析 告 警 实 验 拓 扑 图 如 图 5-94 所 示 。 
【实验 思路 】 
CD 在 管理 机 端 使 用 Xshell 进入 日 志 审 计 与 分 析 系 统 后 台 , 配 置 系统 路 由 信息 。 
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第 5 齐 日 志 存储 与 分 析 c 


: 10.70.25.88/24 | GE2: 172.16.8.60/24 人 = 
| RESO 
Ss 
PENU: 10.70.25.22/24 mEMMMZMZM Redhat6.0: 172.16.825/24 


(以 实际 IP 地 址 为 准 ) 
5-94 日 志 审 计 与 分 析 系 统 关联 分 析 告 警 实验 拓扑 图 


(2) 以 管理 员 admin 用 户 的 导 份 登录 日 志 审 计 与 分 析 系 统 。 
(3) 登录 Linux 系统 ,配置 系统 便 件 地 址 。 

(4) 修改 Rsyslog 配置 文件 并 重启 服务 。 

(5) 重启 Linux, 并 以 错误 密码 重复 登录 失败 模拟 暴力 破解 场景 。 
(6) 在 日 志 系 统 中 查看 攻击 事件 。 


【实验 步 桑 】 


(1) EE FBRBLoS E Xshell 图 标 ,打开 Xshell, 

(2) 在 会 话 框 中 单 击 新建? 按钮 ,创建 新 的 会 话 。 

(3) 在 “主机 ? 栏 中 输入 日 志 审 计 与 分 析 系 统 GEL 接口 的 IP 地 址 “10.70. 25. 88”( 以 
实际 IP. 地 址 为 准 ) ,其 他 设置 保持 不 变 , 单 击 “ 确 定 ” 按 钮 。 

CA) 新 建 的 会 话 会 在 “所 有 会 话 ” 中 显示 ,选中 “新 建 会 话 ”, 单 击 “ 连 接 ” 按 钮 。 

(5) 单 击 “ 一 次 性 接受 ”按钮 。 

(6) 在 “请 输入 登录 的 用 户 名 ”一 栏 中 输入 用 户 名 admin, 单 击 “ 确 定 ” 按 钮 。 

(7) 在 “密码 ” 栏 中 输入 密码 “@1fw 划 2soc$ 3vpn”, 单 击 “ 确 定 ” 按 钮 。 

(8) 成 功 登 录 日 志 审 计 与 分 析 系 统 后 台 。 

(9) 输入 命令 “secfox -e ethl -p 172. 16. 8. 60 -m 255. 255. 255. 0", 设置 日 志 审 计 与 
分 析 系 统 GE2 接口 的 IP 地 址 。 其 中 ,“172. 16. 8. 60" GE2 口 的 IP 地址 ,“255. 255. 
255.0” 是 GE2 口 的 子 网 掩 码 。 按 Enter RE. H1 “modify ip ...”, 说 明 接 口 信息 配置 成 功 。 

(10) 打开 浏览 器 ,在 地 址 栏 中 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “https://10. 70. 
25. 88”( 以 实际 IP 地 址 为 准 ) , 单 击 继续 浏 览 此 网 站 ”, 打 开平 台 登 录 界 面 。 

11) 输入 管理 员 用 户 名 /密码 “admin/11fw(@2soc#3vpn”, 单 击 “ 登 录 ” 按 钮 ,登录 日 
志 审 计 与 分 析 系 统 。 

(12) 系统 设置 的 密码 有 效 期 为 7 天 , 当 登 录 系 统 后 收 到 更 改 密码 提示 时 , 单 击 “ 确 
定 ” 按 钮 ,更 改 系 统 密码 。 

(13) 在 “原始 密码 ”一 栏 输入 原始 密码 “11fw(@2soc# 3vpn”。 在 “新 密码 ”一 栏 输 入 
“11fw(@2soc# 3vpn” ,与 原始 密码 相同 。 在 “确认 新 密码 ?一 栏 输入 “11lfw@2soc 井 
3vpn" , Fal “m E” TEIL. 

(14) 单 击 浏览 器 中 的 “工具 ”一 “兼容 性 视图 设置 ”。 

(15) 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “https://10.70.25.88”( 以 实际 IP 地 址 为 
准 ) , 单 击 “ 添 加 ”按钮 ,添加 网 站 兼容 性 视图 。 

(160 单 击 “关闭 ”按钮 ,退出 设置 。 
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(17) 进入 日 志 审 计 与 分 析 系 统 后 , 单 击 " 系 统一 ”系统 维护 ”, 可 看 到 系统 ”IP 地址 配 
置 1 为 "172. 16. 8. 60”, 即 日 志 审 计 与 分 析 系 统 GE2 接口 的 IP 地址 。 

(18) 将 管理 机 时 间 与 日 志 审 计 与 分 析 系 统 时 间 统 一 。 在 日 志 审 计 与 分 析 系 统 中 , 单 
击 * 系 统 ” >“ 系统 维护 ”, 接 着 单 击 “ 时 间 校对 设置 ” 框 中 的 : 手动 校 时 ?选项 。 

(19) 单 击 “ 时 间 ?” 一 栏 的 钟表 图 案 。 

(20) 选择 与 管理 机 统一 的 时 间 。 

(21) Ha Bé mS EMO ,退出 设置 。 

(22) 单 击 “修改 时 间 ”, 完 成 日 志 审 计 与 分 析 系 统 时 间 的 手动 修改 。 

(23) 修改 成 功 后 ,系统 会 跳 转 至 登录 界面 ,重新 输入 用 户 名 /密码 ”admin 11lfwOQ 
2soc 井 3vpn” 登 录 日 志 审 计 与 分 析 系 统 。 

(24) 重新 登录 后 ,查看 系统 界面 右 下 方 的 时 间 ,与 管理 机 时 间 相 同 。 

(25) 选择 Redhat6.0 ,打开 Linux 系统 ,如 图 5-95 所 示 。 


GE2: 172.16.8.60/24 


PC bi tom X») Redhat6.0: 172.16.8.25/24 
ASE bs IPLE AE 


5-95 打开 Linux 系统 


(26) 输入 用 户 名 /密码 “root/123456”, 登 录 Linux 系统 ,如 图 5-96 所 示 。 


Red Hat Enterprise Linux Server release 6.0 (Santiago) 
Kernel 2.6.32-71.616.x86 64 on an x86 64 


localhost login: root 


Last login: Fri Mar 9 17:87:19 on ttu1 
[root localhost ~ ]# 


图 5-96 单 击 其 他 


(27) 修改 Linux 系统 的 时 间 , 使 其 与 管理 机 时 间 保 持 一 致 。 输 入 命令 “date -s 04/ 
13/2018”( 以 实际 时 间 为 准 ) ,修改 系统 日 期 ,如 图 5-97 所 示 。 


[root@localhost -qm 


5-97 ”修改 Linux 系统 日 期 


(28) 输入 命令 “date -s 10;52;40”( 以 实际 时 间 为 准 ), 修 改 系 统 时 间 , 如 图 5-98 
Bas 


ES 


(290 输入 命令 "clock -w”, 使 修改 生效 ,如 图 5-99 所 示 。 
(30) 输入 命令 "date”, 查 看 修改 后 的 系统 时 间 ,与 管理 机 时 间 一 致 ,如 图 5-100 所 示 。 
(31) 输入 命令 “vi /etc/udev/rules. d/70-persistent-net. rules”, 修改 udev 中 的 规则 
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$53 日 志 存 储 与 分 析 


Last login: Fri Mar 9 17:87:19 on ttul 
[rootB localhost ^14 date -s 8471372018 
Fri fipr 13 BB:BB:BH-e LESES 


[root localhost ^1! 
Fri 入 pr 13 18:52:1Z 
[root? localhost "1t 


5-08 ”修改 Linux 系统 时 间 


localhost login: root 

Password : 

Last login: Fri Mar 9 17?7:H?:19 on ttyl 
[root localhost "]H date -s 84/13/2818 
Fri fipr 13 BB:BB:BB CST 2818 

[rooti! localhost "]t date -s 1H:5z:1Zz 
Fri fipr 13 18:5z: * : 

[root@® localhost ^[lit clock -w | 


[rootë localhost "1t — 


0-99 ”修改 生效 


[rootBlocalhost ~lt date — 
[ri Apr 13 18:56:83 CST culu | 


Ss 


ITOULUTIUCLGAIIHOS-U IH 


ra EDT NCGEEM 
Q ^ ^9-92wz$9 FEM 


WL AF 


5-100 查看 修改 后 系统 时 间 


脚本 ,使 MAC 地 址 与 网 卡 对 应 ,如 图 5-101 所 示 。 


[rootB localhost ~ ]# vi ^etc^zudev^/rules.d^?7BH-persistent-net.rules 


图 5-101 进入 规则 脚本 


(32) 按 i1 键 ,进入 输入 模式 。 记 录 ethl 接口 的 便 件 地 址 “02 :bc:34 :52:71:6a”( yi 
ls MAC Jb ib ji "NAME — 'eth1"4z mM g"^NAME- 'eth0" , Zi] 5-102 所 示 


This file was automatically generated bu the ^libz/udev^/urite net rules 
program, run by the persistent-net-generator.rules rules file. 


You can modify it, as long as you keep each rule on a single 
line, and change only the value of the NAME= key. 


PCI device Bx8BB8656:BHxl1HHe CelHBH) 
BSYSTEM--" "net", ACTIONH--" add", DRI 


A. ATTR£tupel--"1", KERMEL--"eths", 


5-102 修改 脚本 
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(33) 修改 后 的 结果 如 图 5-103 所 示 。 


This file was automatically generated by the wlibAudev/write net rules 
program, run by the persistent-net-generator.rules rules file. 


You can modify it, as long as you keep each rule on a single 
line, and change only the value of the NAME= key. 


PCI device Hx8HB85:BHBx1HBHe (Cel1HHH) 
SUBSYSTEM--"net", ACTIOM--"add", DRIUERS&s—— STRíaddressi--"B2:bc:34:52:71:6 
ja , ATIRítupes--"1", KERMEL--"eth*", 


0-103 EMAR 


(34) 1€ Esc 键 , 输 入 “:wq”, 保 存 并 退出 设置 ,如 图 5-104 所 示 。 


This file was automatically generated by the ^/libz/udeu/zurite net rules 
program, run by the persistent-net-generator.rules rules file. 


You can modify it, as long as you keep each rule on a single 
line, and change only the value of the NAME= key. 


PCI device Bx8HB86:Hx1HBe (Ce1HHBH) 
SUBSYSTEM--"net", ACTIONH--"add", DRIUERS--"7«", ATTRíaddress)--" 82:bhc:34:52:71:6 
la", ATTRítupe?--"1", KERHEL--"eth»", NAME-"ethB8" 


5-104 ”保存 脚本 


(35) 输入 命令 “vi /etc/sysconfig/network-scripts/ifcfg-eth0”, 进 入 局 动 脚本 文件 ， 
如 图 5-105 所 示 。 


[root8 localhost netuork-scripts]it vi /etc^suyscont 1g7network-scripts^z/ifcfg-ethH. 


图 5-105 启动 脚本 


(36) 按 i1 键 ,进入 输入 模式 ,如 图 5-106 所 示 。 
(37) 修改 脚本 文件 ,添加 如 下 信息 : 


HWADDR- "QZbe:3452716a"' (以 实际 MAC 地 址 为 准 ) 
IPADDR- "17216825" 
NEIMASK- '2552552580' 
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DEUICE-"ethB" 
INBOOT= yes 
BOOTPROTO=dhcp 


C- INSERT -- 


图 5-106 输入 模式 


H.rH,*02:bce:34:52:71:6a" Jg 2b 9€ (3250 P Linux 系统 ethl 接口 的 便 件 地 址 ,如 图 5-107 
所 示 。 


DEUICE-"ethB" 
WADDR-"8B2:bc:34:52:71:6a" 
M CONTRÜLLED-"yces" 

DNBOOT= "yes" 
IPADDR-"172.16.8.25" 
ETHMASK-"255.255.255.8" 


图 5-107 修改 人 硬件 地 址 


(38) 按 Esc 键 ,输入 “:wq” ,保存 并 退出 ,如 图 5-108 所 示 。 

(39) 输入 命令 “reboot”, 重 启 系 统 , 如 图 5-109 所 示 。 

(40) WAMA “ifconfig”. AA Linux 系统 的 IP 地 址 ,如 图 5-110 所 示 。 

(41) 输入 命令 “vi /etc/rsyslog. conf" ,进入 Rsyslog 配置 文件 ,如 图 5-111 所 示 。 
(42) 按 i 键 ,进入 输入 模式 ,如 图 5-112 所 示 。 

(43) 在 文件 末 添 加 “x . x @172. 16.8.60”. HP ,“172. 16. 8. 60? 是 日 志 审 计 与 分 
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)EUICE-"ethü" 
1U6DDR-"B82:bc:34:52:71:6a" 
iM CONTRÜLLED-"'yes" 
DNBOOT-"uyes" 
IPADDR-"172.16.8. 
Faa a 


三 


55.27 


IETMASK="255. 


图 5-108 退出 并 保存 修改 


[root localhost network-scriptsltüt reboot _ 


图 5-109 重启 系统 


kernel Z.65.3Zz-/1.e16.x86 64 on an x86 654 


localhost login: root 
Password : 

Last login: Fri fipr 
[root localhost ~] 
cth8 HH 一 en 


UP 

HX packets 

IX packets 

callisions:H txqueuelen:1H8HH 

HX butes:H (H.H b) TX buytes:8H4 (8B4.HB b) 


Link encap:Local Loopback 

inet addr:12?7.H.8.1 MHMask:Z55.H.H.H 

inet6 addr: ::1^7128 Scope:Host 

UP LOOPBACK RUNNING  HTU:16436  Metric:1 

HA packets:H errors:H dropped:H overruns:BH frame:H 
IX packets:H errors:H dropped:H ouerruns:H carrier:H 
collisions:H txqueuelen:H 

HX butcs:B8 (8.8 b) TX buytcs:B (H.B b) 


Lroott localhost J]# _ 


图 5-110 查看 Linux 系统 IP 


[rootB localhost CJ]# vi etc/rsyslog .conf 


图 5-111 Rsyslog 文件 配置 


析 系 统 的 IP 地 址 ,如 图 5-113 所 示 。 
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(44) FX Esc 键 ,输入 命 仿 ”:wq” ,你 存 并 退出 ,如 图 5-114 所 示 。 
(45) 输入 命令 “service rsyslog restart”, 重 启 Rsyslog 服务 ,如 图 5-115 所 示 。 


第 5 章 日 志 存 储 与 分 析 


rsyslog v3 config File 


if you experience problems, check 
http:^/^wuww.rsuslog.com^*trouhleshoat for assistance 


"suus MUDULES ##HH 


5ModLoad imuxsaock.so # provides support for local system logging (e.g. via lo 
gyger command) 

ModLoad imklog.so # provides kernel logging support (previously done bu rk 
logd) 

SModLoad immark.so t provides --MARK-- message capability 


Provides UDP syslog reception 
"5ModLoad imudp.so 
SUDPSeruerRun 514 


Provides TCP suslog reception 


"5ModLoad imtcp.so 
SInputTCPServerRun 514 


HHEH GLÜUBRL DIRECTIVES iHi 


-- INSERT -- 


5-112 输入 模式 


H save boot messages also to boot. log 
local?.* /Zvar/log^7boaot . log 


### begin forwarding rule ##H# 

The statement between the begin ... end define a S3INGLE forwarding 
rule. They belong together, do NOT split them. If you create multiple 
forwarding rules, duplicate the whole block! 

Remote Logging (ue use TCF for reliable delivery) 


ñn on-disk queue is created for this action. If the remote host is 
down, messages are spooled to disk and sent when it is up again. 
"uSWorkDirectory /var/spppl/rsyslog # where to place spool files 
auSactionQueueFileName fudRulel1 # unique name prefix for spool Files 
SActionQueueMaxDiskSpace 1g H igb space limit (use as much as possible? 
a ShctionQueucSaveünShutdown on H save messages to disk on shutdown 
ü$ShüctionQueueTupe LinkedList H run asynchronous lu 
iSáctionResumeRetruyCount -1 H infinite retries if host is down 
H remote host is: name^zip:port, e.g. 132.158.8.1:514, port optional 
i. BlüPemote-host:514 
H dH end o Forwarding rule iH 
t. [1172.16.8.6H 


图 5-113 ”修改 Rsyslog 配置 文件 


save boot messages also to boot. log 
lucal?.* /^varzlogzboot.log 


HUE begin forwarding rule #48 

The statement between the begin ... end define a SIMGLE Forwarding 
rule. They belong together, do NUT split them. If you create multiple 
forwarding rules, duplicate the whole block? 

Remote Logging (ue use TCP for reliable delivery) 


ñn on-disk queue is created for this action. If the remote host is 

doun, messages are spooled to disk and sent when it is up again. 
t$UorkDirectoru ^var^/spppl^rsuslog # where to place spool files 
ü$SActionüuceueFileMame fwdRulel # unique name prefix for spool files 
ü$hctionQueuceMaxDiskSpace ig HB lgb space limit (use as much as possible?) 
$RctionQueueSaueOnShutdoun on # save messages to disk on shutdown 
SActionQueueType LinkedList # run asynchronous ly 
ü$hctionResumchctruCount -1 B infinite rctrics if host is down 

remate host is: namezip:port, e.g. 192.168.H.1:514, port optional 


图 5-114 退出 并 保存 Rsyslog 配置 文件 
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日 志 "n? 审计 与 分 析 实 验 验 指 Ea 


Shutting doun system 


Starting system logger: 
[rooti/localhost ~ 


图 5-115 重启 服务 


【实验 预期 】 


(1) 单 击 “资产 ”一 “资产 日 志 ”, 可 查看 Linux 系统 所 属 IP 的 资产 日 志 管 理 信 息 。 

(2) 重启 Linux 系统 ,并 以 错误 密码 重复 登录 失败 。 

(3) 依次 单 击 日 志 审 计 与 分 析 系 统 的 “事件 ”一 实时 监视 ?一 接收 的 外 部 事件 ”, 接 
收 到 日 志 信 息 。 

(4) 根据 日 志 信 息 分 析 攻 击 性 质 。 


【实验 结果 】 


CD 在 日 志 审 计 与 分 析 系 统 主 界面 中 单 击 “资产 ”>“ 资 产 日 志 ”, 接 着 单 击 “ 刷 新 ” 按 
钮 ,如 图 5-116 所 示 。 


5 SecFox-LAS | 


Eum|Cme boum Dgs Dm Ax UV EGER 
D 资产 > 资产 日 志 > 资产 日 志 管理 
允许 接收 SIE He KESASAR 
Ti 
172.16.8.30 
172.16.8.100 
172.15.8.1 
1/2.16.8.2 


图 5-116 刷新 资产 日 志 信 息 


(2) 刷新 后 ,可 以 查看 Linux 系统 IP 地 址 “172, 16. 8. 25” 的 资产 日 志 管 理 信 息 , 如 
图 5-117 所 示 。 


Ca Seeha ban Tet Uu Il NEL 
5 RE o 资产 日 志 > 次 产 日 志 管理 
Urie 5 SKK «MER FONES 
REB RETE 


图 5-117 查看 Linux 日 志 管 理 信 息 


(3) 选中 Linux 系统 IP 对 应 的 资产 日 志 管 理 信息 , 单 击 “ 人 允许 接收 ?按钮 ,使 日 志 
计 与 分 析 系 统 及 时 接收 Linux 系统 的 日 志 人 信息, 如 图 5-118 所 示 。 


& Co XU 3 SAAE 3 资产 有 目 吉 管理 
le DES NI: NESSA 


HIET mex sili zs Exiit E ERR 


172.16.8.100 3 tis Mak 2018-04-13 10:31:34 
a) 172.10.35.23 已 EB 2018-04-13 11:28:34 


图 5-118 单 击 允 许 接收 
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Box 日 志 存 储 与 分 析 


省 主页 Ear Com ban Tik DAR oe 5 RGB 
资产 > 资产 日 志 > 资产 日 志 管 理 


& [-] DW x SFOEMÉEEn 
irl rix xii E— 30 a Ra 
172.185.8.100 » hr sli 2018-04-13 10:31:34 
172.15.8.25 z» fti f 2018-04-13 11:40:54 


图 5-119 ”接收 状态 被 修改 


(5) 选择 Redhat6.0, 打 开 Linux 系统 ,如 图 5-120 F 


GE1: 10.70.25.88/24 GE2: 172.16.8.60/24 


gp 3 irri Redhat6.0: 172.16.8.25/24 
, En ih 也 J^ í E 


5-120 1TJf Linux 系统 


(60 输入 命令 “shutdown -r now". JH Linux 系统 ,如 图 5-121 Brzn , 


Hed Hat Enterprise Linux Server release 6.8 (Santiago) 
Kernel 2Z.65.3Z-/71.e16.x86 654 on an xB8b5 64 


localhost logi: 


5-121 重启 Linux 系统 


(7) 输入 用 户 名 root. fH. f A f D HJ a 63. 比如 123, XE o Ar H w zs “Login 
incorrect" AUN XE e X M. hok BEIX 8 dd 2b UE C60 MAR., LA Mo B UL 2E 7J D RE 3A e. 如 
Red Hat Enterprise Linux Server release 6.8 (Santiago) 
Kernel 2.6.32-71.e16.x86 64 on an x86 64 
localhost login: 
Password : 
Login incorrect 


login: root 


Password: 
Login incorrect 


Password : 
Login incorrect 


图 5-122 登录 失败 


(8) 在 管理 机 中 登录 日 志 审 计 与 分 析 系 统 平台 ,依次 单 击 “ 事 件 ” 一 “实时 监视 ”一 “ 接 
收 的 外 部 事件 ”, 查 看 IP 地 址 为 “172. 16. 8. 25” 的 日 志 信 息 , 如 图 5-123 所 示 。 
(9) 双击 刚刚 接收 到 的 事件 ,查看 日 志 的 详细 信息 ,发现 第 2 个 .第 4 个 .第 7 个 事件 
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日 志 审 计 与 分 析 实 验 指 导 MM LLL 


000000 00 00000 q0 0 
[ba dt 


mpm. petiti] 


01-29 15:12:34 [—7 | 
D1-20 15:12:14 EE 1] 
Di-20 15:12:26 L— | 
01-29 45:12:26 [77 | 
01-20 15:10:23 E | 
Di-22 15:07:31 EE 
01-z9 15:Q7z:31 [— | 
Di-2315:01:23 E— | 
01-29 15:04:23 [— | 
D1-20 1*:01-24 E— |] 
Di-25 15:01:23 BB 
Dl-29 15:01:23 Ia | 
Di-2315:01:23 EŒ] 
01-29 45:00:23 [— | 


FR Ehi 


一 一 m 


mHUCeTR SENO iih 
172.16.86.25 
172.10.B.2*5 
172.15.8.25 
172.16.56.25 
172.1B0.B.2*5 
172.18.8.25 
l?2.15.8,25 
172.18.8.75 
172.16.86.25 
172.10.8.73 
i72.16.8.25 
172, 15.5.25 
172.15.8.25 
172.16.68.25 


图 5-123 ”查看 到 日 志 信息 


均 为 登录 失败 事件 ,如 图 5-124 所 示 。 


击 ,如 图 5-125 所 示 。 


措施 。 
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[] sem MoA 


RENE 


01-29 15:12:39 E— |] 


i. Ul-29 15:12:34 | 


Er. 01-28 15:12:26 E ] 

] * üi-38 15:12:26 L[— | 
a 01-29 15:10:23 La | 

h 01-29 15:07:31 L— ] 


01-29 15:07:31 [— —— 


À 01-29 15:01:23 [— 1 


4» 01-39 15:01:23 EE ] 


01-29 15:04:23 [ — | 


E, 01-29 15:01:23 人 | 
4»  0i-2815:01:23 EE ] 


01-28 15:04:23 [.— — 1 


) 1-29 15:00:23 [— —31 


LI MEE Lis 


HAPSE EDD iaiki 
172,15.8.25 
177.15.8.25 
17215.8.25 
172.185.8.25 
172.]5.8.25 
17218.8.25 
172.16-8.13 
172.15-8.23 
17216.8.25 
172.16-8.25 
172.]5.8.25 
17215.8.25 
172.15.8.25 
172.10.B.2*5 


图 5-124 选择 事件 日 志 具 体 信 息 


(10) 事件 的 具体 信息 中 会 显示 “password check failed for user(root) " , 说明 密 但 错 
误导 致 登录 root 用 户 失 败 , 厂 多 次 收 到 此 类 事件 , 则 说 明 Linux 3& Sü38 26 Y 2& 7J Wk t IC 


ac PLE 


151720005400000 
D1-29 15:12:34 
5 eis 


n 
D1-29 15:12:35 
D 


p 
172.16.48.25 
(Ea 


152,158,1.60 


Gefos LAS 20170705 172 
localhost unix. chkpid[2175]:[passwn 


图 5-125 分 析 攻 击 性 质 


(11) 综 上 所 述 ,日 志 审 计 与 分 析 系 统 可 以 通过 对 设备 的 日 志 收 集 , 判 断 出 设备 是 否 
遭受 攻击 ,提高 了 受 监 视 设 备 的 安全 性 。 


【实验 思考 】 


在 网 络 中 还 有 什么 形式 的 攻击 事件 ?请 淮 例 ,并 分 析 日 志 系 统 应 当 如 何 做 出 防护 


m6 | 
查询 与 报表 


数据 库 中 的 表 往 往 包 含 大 量 数据 ,用 户 一 般 很 少 需 要 查询 表 中 有 所 有 数据 行 的 信息 ,而 
只 须 在 菜 些 查询 场景 中 寻找 其 中 一 些 满足 特定 条 件 的 信息 。 普 通 的 条 件 查 询 就 是 近 照 已 
知 确定 的 条 件 进行 查询 ,模糊 查询 则 是 通过 一 些 已 知 但 不 完全 确定 的 条 件 进 行 查询 ,查询 
的 功能 是 通过 Structured Query Language (SQL) 语句 实现 。 

SQL 可 以 创建 ,维护 保护 数据 库 对 象 ,并 且 可 以 操作 对 象 中 的 数据 ,对 数据 进行 增 、 
删改 、 查 四 种 操作 。 


6.1 日 志 审 计 与 分 析 系 统 预 定义 报表 实验 


【实验 目的 】 
通过 对 日 志 审计 与 分 析 系 统 报表 的 配置 ,学 会 使 用 预定 义 报表 生成 报表 数据 并 做 简 


XA. 
【知识 点 了 
预定 义 报表 、 报 表 分 析 。 
[ 3: us 37 zl 
A 公司 新 招聘 了 一 个 实习 生 , 张 经 理 要 求 安全 运 维 工 程 师 小 王 带领 他 掌握 日 志 审计 


写 分 析 设 备 的 使 用 方法 。 小 王 指 守 实习 生 熟 悉 了 设备 的 基本 使 用 方法 , 现 提供 一 个 数据 
fu, ,要求 他 通过 设备 的 预定 义 报 未 功 能 查看 此 数据 包 中 的 信息 内 容 。 请 思考 应 如 何 操作 。 


【实验 原理 】 


管理 员 可 以 将 事件 分 析 的 结 来 生成 报表 ,作为 汇报 的 工作 内 容 一 部 分 提交 给 相关 部 
门 。 报 表 包 括 系 统 预 定义 报表 和 目 定 义 审计 报表 。 用 户 可 以 运行 和 调度 这 些 系统 中 已 经 
存在 的 预定 义 报表 ,也 可 以 创建 、 修 改 日 定义 的 审计 相关 报表 。 在 系统 预定 义 报表 组 中 ， 
系统 提供 了 部 分 内 置 的 报表 ,供用 户 卫 接 使 用 以 查看 一 些 通用 条 件 下 的 报表 数据 。 预 定 
义 报表 组 不 允许 进行 添加 修改 和 删除 操作 ,但 是 预定 义 报 表 中 的 审计 类 型 的 报表 可 以 复 
制 到 目 定 义 报表 ,然后 可 以 在 日 定义 报表 中 对 其 进行 修改 。 


【实验 设备 】 


。 安全 设备 : Hagae lf. 
。 主机 终端 : Windows XP 主机 1 台 。 


【实验 拓扑 】 
日 志 审 计 与 分 析 系 统 预 定义 报表 实验 拓扑 图 如 图 6-1 所 示 。 


GEI: 10.70.25.88 


管理 机 : 10.70.25.22/24 
(以 实际 IP 地 址 为 准 ) WXP 虎 所 机 : 172.16.8.100/24 


图 6-1 日 志 审 计 与 分 析 系 统 预 定义 报表 实验 拓扑 图 


【实验 思路 】 


COD 登录 WXP 虚拟 机 向 日 志 服 务 器 发 送 防 火 墙 日 志 。 
(2) 以 管理 员 admin 的 身份 登录 日 志 审 计 与 分 析 系 统 。 
(3) 启用 日 志 解 析 文 件 。 

(4) 预览 预定 义 报表 。 

(5) 运行 预定 义 报表 。 


【实验 步骤 】 


(1) AE MH meir Xshell 图 标 , 打 开 Xshell。 
(2) 在 会 话 框 中 单 击 “新 建 ” 按 钮 ,创建 新 的 会 话 。 
(3) 在 “主机 ” 栏 中 输入 日 志 审 计 与 分 析 系 统 GE1 接口 的 IP 地 址 “10. 70. 25. 88”( 以 


实际 IP 地 址 为 准 ) ,其 他 设置 保持 不 变 , 单 击 “ 确 定 ” 按 钮 。 


(A) 新 建 的 会 话 会 在 “所 有 会 话 ” 中 显示 ,选中 “新 建 会话 ”, 单 击 “ 连 接 ” 按 钮 。 

(5) 单 击 “一 次 性 接受 ”按钮 。 

(6) 在 “请 输入 登录 的 用 户 名 ”一 栏 中 输入 用 户 名 admin d sexe" TEL. 

(7) 在 “密码 ” 栏 中 输入 密码 “@1fw 间 2soc$ 3vpn”, 单 击 “ 确 定 ” 按 钮 。 

(8) 成 功 登 录 日 志 审 计 与 分 析 系 统 后 人 台 。 

(9) 输入 命令 “secfox -e ethl -p 172. 16. 8. 60 -m 255. 255. 255. 0”, 设 置 日 志 审 计 与 


分 析 系 统 GE2 接口 的 IP 地 址 。 其 中 ,“172. 16. 8. 60” 是 GE2 口 的 IP 地 址 ,“255. 255. 
255.0” 是 GE2 H ÉJT AEI., Fk Enter 键 ,出 现 “modify ip ...”, 说 明 接 口 信息 配置 成 功 。 


(10) 打开 浏览 器 ,在 地 址 栏 中 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “https://10. 70. 


25. 88”( 以 实际 IP 地 址 为 准 ), 单 击 “ 继 续 浏 览 此 网 站 ”按钮 ,打开 平台 登录 界面 。 


(OD 输入 管理 员 用 户 名 /密码 “admin/11fw(@2soc#3vpn”; 单 击 “ 登 录 ” 按 和 钮 ,登录 日 


志 审 计 与 分 析 系 统 。 
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= 第 6 章 查询 与 报表 : 


(12) 系统 设置 的 密码 有 效 期 为 7 天 , 当 登 录 系 统 后 收 到 更 改 密码 提示 时 , 单 击 “ 确 
定 ” 按 钮 ,更 改 系 统 密 人 码 。 

(13) 在 “原始 密码 ”一 栏 输 入 原始 密码 “11fw(@2soc#3vpn”, 在 “新 密码 ”一 栏 输入 “1 
1fw(@2soc#3vpn”, 与 原始 密码 相同 ,在 “确认 新 密码 ”一 柱 输 入 “11fw(@2soc#3vpn”, 单 

(14) 单 击 浏览 器 中 的 “工具 ”一 “兼容 性 视图 设置 ”， 

(15) 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “https;//10.70.,25. 88”( 以 实际 IP 地 址 为 
HE) , 单 击 “ 添 加 ”, 添 加 网 站 兼容 性 视图 。 

(160 单 击 “关闭 ”按钮 ,退出 设置 。 

(17) 进入 日 志 审 计 与 分 析 系 统 后 , 单 击 “系统 ”>“ 系 统 维 护 ”, 查 看 到 系统 “IP 地 址 配 
置 1” 为 “172. 16. 8. 60”。 

(18) 将 管理 机 时 间 与 日 志 审 计 与 分 析 系 统 时 间 统 一 。 在 日 志 审 计 与 分 析 系 统 中 , 单 
击 "“ 系 统一 “系统 维护 ”, 接 着 单 击 "时 间 校 对 设置 ? 框 中 的 “手动 校 时 ?选项 。 

(19) 单 击 “时 间 ” 一 栏 的 钟表 网 案 。 

(20) 选择 与 管理 机 统一 的 时 间 。 

(21) Ha BEES EB GB ER. 

(22) 单 击 “修改 时 间 ”, 完 成 日 志 审 计 与 分 析 系 统 时 间 的 手动 修改 。 

(23) 修改 成 功 后 ,系统 会 跳 转 至 登录 界面 ,重新 输入 用 户 名 /密码 “admin/11fw(G@ 
2soc#3vpn” 登 录 日 志 审 计 与 分 析 系 统 。 

(24) 重新 登录 后 ,查看 系统 界面 右 下 方 的 时 间 ,与 管理 机 时 间 相 同 。 

(25) 登录 实验 平台 ,打开 虚拟 机 WXP, 对 应 实验 拓扑 中 的 右 侧 设备 ,如 图 6-2 所 示 . 


管理 机 : 10.70.25.22/24 
(以 实际 IP 地 址 为 准 ) WXP 虎 所 机 : 172.16.8.100/24 


图 6-2 打开 虚拟 机 WXP 


(26) 进入 虚拟 机 后 ,为 保证 日 志 审 计 与 分 析 系 统 收 到 的 日 志文 件 时 间 与 虚拟 机 时 间 
一 致 ,首先 查看 虚拟 机 的 系统 时 间 与 管理 机 的 系统 时 间 是 否 一 致 ,如 果 不 一 致 , 则 双击 虚 
拟 机 界面 右 下 角 的 时 间 进 行 调整 。 

(27) 根据 管理 机 时 间 对 虚拟 机 时 间 进 行 调整 ,时 间 确 定 后 单 击 “ 确 定 ” 按 钮 。 

(28) 进入 虚拟 机 果 面 ,打开 有 果 面 上 的 “实验 工具 ”。 

(29) 单 击 文件 来 UDPSender。 

(30) UDPsender 是 模拟 防火 十 日 志 发 送 的 工具 ,双击 图 标 UDPsender. exe, 打 开 文 
件 夹 中 的 日 志 发 送 工具 。 

(31) 配置 日 志 发 送 的 相关 信息 协议 ”设置 为 Syslog， 方 式 ? 设 置 为 “ 按 速度 发 送 ”， 
“速度 ”输入 5, 然后 单 击 “ 初 始 化 通信 ”。 

(32)“ 消 息 来 源 ? 设 置 为 "从 文件 ”, 单 击 ”..… 按钮 ,选择 目标 日 志文 件 。 
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(33) 在 查找 范围 中 的 “ 昔 面 ”上 进入 “实验 工具 ?目录 , 单 击 UDPSender 文件 夹 。 

(34) 进入 logfiles ,选择 日 志文 件 ,本 实验 选择 “FW_LOG_DEOM. log”, 上 再 单 击 “ 打 
开 ” 按 钮 。 

(35) 在 目标 端 设 置 中 ,选中 序号 为 0 的 目标 , 单 击 “编辑 ”按钮 。 

(36) 将 “目的 IP 地 址 ? 设 为 “日 志 服 务 顺 的 IP 地 址 ”, 本 实验 设置 为 “172. 16. 8. 60”， 
端口 设置 为 514。 

(37) 完成 设置 后 ,核对 信息 配置 是 否 正确 ,然后 单 击 “发 送 ” 按 钮 。 

(38) 完成 日 志 发 送 过 程 后 ,按照 步骤 (1), 在 管理 机 上 登录 日 志 审 计 与 分 析 系 统 平 
台 ,依次 单 击 资产 ”一 “资产 日 志 ”, 如 图 6-3 所 示 。 


IG. SecFox-LAS 
ey 


e 主页 入 事件 hau TEs DAR Raa TARS 
baia 

Ly 资产 对 象 

9i 资产 尾 性 


资产 对 象 

G Cp Cg C5 Chb- GAY 
3 资产 对 象 

-O ps 

amp: -= 


图 6-3 进入 资产 日 志 界 面 


(39) 选中 质 产 地 址 -172. 16. 8. 100”, 单 击 ”允许 接收 “和 “局 用 REL EL RUE Hos h 
计 与 分 析 系 统 接收 日 记 , 并 局 用 是否 告 去 ”, 如 图 6-4 所 示 。 


6-4 ”管理 资产 日 志 


(40) 登录 实验 平台 对 应 实验 拓扑 左 侧 的 WXPSP3 虚拟 机 ,对 应 实验 拓扑 中 的 右 侧 
设备 ,如 图 6-5 所 示 。 


GE]: 10.70.25.88 


管理 机 : 10.70.25.22/24 
(以 实际 IP 地 址 为 准 ) WXPSP3 虎 所 机 : 172.16.8.100/24 


图 6-5 进入 虚拟 机 WXPSP3 


(41) 在 虚拟 机 中 登录 日 记 审 计 与 分 析 系 统 ,打开 虚拟 机 果 面 的 火狐 浏览 冀 。 
(42) 在 地 址 栏 中 输入 日 志 审 计 与 分 析 产 品 的 IP 地 址 “https://172. 16. 8. 60”( 以 实 
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bs IP 地 址 为 准 ) ,打开 平台 登录 界面 。 

(43) 出 现 " 您 的 连接 不 安全 ”, 单 击 “ 高 级 "按钮 。 

(44) 在 “高 级 ”设置 中 , 单 击 * 添 加 例外 ?按钮 。 

(45) 在 弹出 的 “添加 安全 例外 ”的 界面 , 单 击 “ 确 认 安 全 例外 ”按钮 。 

(46) 添加 安全 例外 后 ,可 以 正常 登录 日 志 审 计 与 分 析 系 统 平台 ,输入 用 户 名 密码 
“admin/ ! 1fw(22soc € 3vpn", 

(47) IRSE TE m 22 EE" Adobe Flash Player" , Z& SC Us JG 280 27e A h "BUE TR HL. 

(48) 单 击 "系统 "按钮 ,进入 "系统 ?模块 ,如 图 6-6 所 示 。 


E SecFox-LAS 


Em Gr bau Taa Cnm 


3-5 日 志 审计 


A 


图 6-6 进入 “系统 ”模块 


(49) 单 击 “ 日 志 解 析 文 件 ”, 进 行 日 志 解 析 文 件 的 导入 ,如 图 6-7 所 示 。 


c3 系统 配置 
一 服务 器 配置 
p metes 
i l É 安装 由 ndows 日 志 传 感 器 
E TAP 
“人 辆 | 系统 自身 监控 
一 全 GoogleEarth E 
"p 日 志 解析 文件 


E-ETTT 
dy 工 具 与 插件 下 载 
p 事件 归并 配置 


图 6-7 日 志 解 析 文 件 
(50) 确保 所 有 的 文件 都 处 于 “局 用 ”状态 ,如 图 6-8 Bron. 
【实验 预期 
查看 并 导出 总 体 报表 信息 。 
【实验 预期 】 
d) 单 击 “ 预 定义 报表 ”一 “总 体 报表 ”一 “各 事件 总 数 统计 ”, 如 图 6-9 所 示 。 
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图 6-8 启用 日 志 解 析 文 件 


H-E UTM 设 备 

HO 第 略 变更 审计 报 雪 

ec 等 级 化 保护 报表 组 

四- 站] 流量 审计 报表 

由 -门帘 计 对 象 报表 

由 -站 事件 趋势 图 

5-7) 数据 库 守 计 系统 报表 

H-O SARH 

d 总 体 报表 
[m] 各 告警 规则 事件 统计 
[m] 各 设备 告警 事件 统计 报表 
“ 国 各 设备 


6-9 ”打开 预定 义 报表 -1 


mn BIS 
2018-3-13 


2018-3-13 
2018-3-13 


2018-3-13 
2018-3-13 
2018-3-13 
2018-3-13 
2018-3-13 
2018-3-13 
2018-3-13 
2018-3-13 
2018-3-13 
2018-3-13 
2018-3-13 
2018-3-13 
2018-3-13 


当前 用 户 : admin BAAN 
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(2) 单 击 " 预 览 ? 按 钮 ,预览 报表 内 容 , 如 图 6-10 所 示 。 


W 审计 > 预定 义 报表 > 总 体 报表 > 各 事件 总 数 统 计 


Zal muc gam 


各 事件 总 数 统计 


各 事件 名 数 统 计 


图 6-10 单 击 “ 预 览 ” 按 钮 -1 


G) 配置 预览 参数 ,“ 时 间 范 围 ” 选 中 “相对 时 间 ” 单 选 按钮 并 设置 为 “本 天 ”,TOP d 
置 为 10, 单 击 “ 确 定 ” 按 钮 ,如 图 6-11 Bron 


时 间 范 围 @ Mtie] 
O 绝对 时 间 
a |e 


图 6-11 配置 预览 参数 -1 


(4) 预览 报表 内 容 , 可 以 查看 “事件 名 称 ”“ 计 数 ” 等 信息 ,预览 完成 后 单 击 “返回 ” 按 
钮 ,返回 上 一 级 界面 后 单 击 “ 了 取消” 按钮 ,如 图 6-12 所 示 。 
(5) 单 击 “运行 ”按钮 ,生成 报表 ,如 图 6-13 所 示 。 
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昌国 | 58) eS gi fe nN « » A cleo] | 


各 事件 总 数 统计 


报 去 时 间 范 国 :2018-03-21 00:00 一 2018-03-22 00:00 报表 生成 时 间 :2019-03-21 10:28 
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图 登录 失败 E 网 络 连接 相关 事件 目 通 信 策 略 允 许 m 登录 成 功 加 HTTP 事 件 
Eiht pitir 四 用户 注销 各 策略 允许 加 登陆 管理 N Tracer 


213 
ERES mm 
iwge — m 7 
mss hm 一 一 
121 


图 6-12 预览 报表 -1 


事件 号 数 统 计 


6-13 单 击 “ 运 行 ” 按 钮 -1 
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(6) 在 “运行 报表 ”界面 中 , 单 击 “确定 ”按钮 ,如 图 6-14 所 示 。 


© 审计 > 预定 义 报表 > 流量 审计 报表 > 流量 
运行 报表 
时 间 范 围 © iadi 
O ”绝对 时 间 
人 |@ 
5» 5 0 


图 6-14 生成 报表 -1 
CD) 如果 弹 出 提示 界面 , 单 击 “保存 ?按钮 ,如 图 6-15 所 示 。 


已 完成 096 - Report.do ($S 10.70.25.88) 


是 要 保存 此 文件 ， 还 是 要 联机 查找 程序 来 打开 此 文件 ? 


`S 名 称 : 各 事件 总 数 统计 .pdf 
sil 类 型 : 未 知 文件 类 型 


WẸ: 10.70.25.88 


(xo | ero |C m ] 
DN. RBS 


图 6-15 保存 报表 -1 
(8) 打开 下 载 的 报表 ,可 见 详细 的 流量 信息 ,如 图 6-16 所 示 。 
【实验 思考 】 
怎样 查看 不 同类 型 设备 的 事件 信息 ? 
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j > WO A ^ 
各 事件 总 数 统计 
报表 时 间 范 围 2018-03-21 0000 一 2018-03-22 00:00. 报表 生成 时 间 2018-03-21 1031 
300 
250 | 


oani 


图 6-16 查看 报表 信息 -1 


6.2 日志 审计 与 分 析 系 统 网 络 安全 设备 日 志 


查询 分 析 实 验 
【实验 目的 】 
通过 对 日 志 审 计 与 分 析 系 统 报表 的 配置 ,掌握 网 络 安全 设备 报表 的 生成 与 分 析 方法 。 
【知识 点 】 
网 络 安全 报表 。 
【实验 场景 】 


A 公司 的 日 志 审计 与 分 析 设 备 由 安全 运 维 工 程 师 小 王 负 责 。 运 维 部 张 经 理 要 求 小 
王将 网 络 安全 设备 (防火 墙 \ 入 侵 检 测 设 备 和 网 络 设 备 ) 相 关 事 件 分 析 的 结果 作为 工作 汇 
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报 的 一 部 分 ,但 小 王 觉得 手动 完成 报告 较 麻烦 , 想 要 通过 日 志 审 计 与 分 析 设备 的 报表 完 
成 。 请 思考 应 如 何 操作 。 

【实验 原理 了】 


网 络 安全 设备 的 日 志 中 包含 网 络 安全 设备 的 工作 状态 ,以 及 流 经 网 络 安全 设备 的 数 
据 流 中 的 攻击 信息 。 通 过 分 析 ,总结 安全 设备 日 志 信 息 中 包含 的 各 类 安全 事件 、 网 络 数据 
信息 ,有 助 于 网 络 安全 管 理 人 员 了 解 和 等 握 同 络 安 全 设备 的 运行 情况 ,以 及 网 络 面 临 的 安 
全 威胁 和 攻击 力度 ,对 于 网 络 安全 管理 人 员 设 计 、 实 施 针对 性 的 安全 加 固 和 防御 措施 有 重 
要 的 指导 意义 。 
【实验 设备 】 


。 安全 设备 : 日 志 审 计 与 分 析 设 备 1 台 。 
。 主机 终端 : Windows XP 主机 1 台 。 


【实验 拓扑 】 
日 志 审 计 与 分 析 系 统 网 络 安 全 设备 日 志 查 询 分 析 实 验 拓 扑 图 如 图 6-17 所 示 。 


GEI: 10.70.25.88 


BPL: 10.70.25.22/24 


(以 实际 IP 地 址 为 准 ) WXP 虎 拟 机 : 172.16.8.100/24 
图 6-17 日 志 审 计 与 分 析 系 统 网 络 安 全 设备 日 志 查 询 分 析 实 验 拓扑 图 
【实验 思路 】 


Cd) 登录 WXP 虚拟 机 向 日 志 服 务 器 发 送 防 火 墙 日 志 。 

(2) 以 管理 员 admin 用 户 的 身份 登录 日 志 审 计 与 分 析 系 统 。 
(3) 启用 日 志 解 析 文 件 

(4). 预 史 网络 安 全 报表 。 

(5) 运行 并 分 析 网 络 安全 报表 。 

【实验 步骤 】 


与 6. 1 节日 志 审 计 与 分 析 系 统 预定 义 报 表 实 验 的 步骤 基本 相同 , 谈 者 可 参考 6.1 证 
的 内 容 进 行 相应 的 操作 ,本 市 不 青 玖 述 。 


【实验 预期 
查看 、 导 出 并 分 析 网 络 安全 报表 。 
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【实验 预期 


(1) 在 管理 机 中 重新 登录 日 志 审计 与 分 析 系 统 平台 ,依次 单 击 “报表 ”一 “预定 义 报 
表 ” 一 “等 级 化 保护 报表 组 ”一 “网络 安全 报表 组 ”一 “防火 墙 设备 报表 组 ”~“ 表 -4 防火 墙 
各 事件 总 数 统计 ”, 如 图 6-18 BER. 


报表 

自 定义 审计 报表 
T 综合 审计 报告 
T 中 间 表 管理 

D 日 去 分 析 报 告 
预定 义 报表 


H UTME 
HO 第 略 变更 审计 报表 
TO 等 级 化 保护 报表 组 
TO 网 络 安全 报表 组 
| EC) 防火 墙 设备 报表 组 


^E] 38-1 防火 墙 各 目的 地 址 事件 等 级 总 数 统计 
| 0 c] 表 -2 防火 境 各 源 地 址 事件 等 级 总 数 统计 
Bine an 


| HM .6 防火 培 各 目的 地 址 目的 读 口 事 科 等 级 总 基 统 计 
| -二 | 28-7 按 源 地 址 统计 防火 墙 事 件 报表 
(OBRC) 入 侵 检 测 设备 报表 组 
| E. 网 络 设 备 报表 组 
H-O 应 用 安全 报表 组 
mx xe EB 

HO 流量 审计 报表 

H0O 窗 计 对 象 报 表 

HO 事件 趋势 图 

HO Enim EE 

HO SARH 

m. 总 体 报表 


图 6-18 打开 预定 义 报 表 -2 


(2) 单 击 " 预 览 ? 按 钮 ,预览 报表 内 容 , 如 图 6-19 所 示 。 


ERRO HeexEm ” 卫 兴 增生 呈 根 去 扯 O $a ROS EHAR 


由 才 防 湾 墙 名 事件 总 吏 统 计 
| 


Er LE 


图 6-19 单 击 “预览 ”按钮 -2 


(3) 配置 预览 参数 ,“ 时 间 范 围 ” 选 中 “相对 时 间 ” 单 选 按 钮 并 设置 为 “本 天 ”,TOP 设 
置 为 10, 单 击 “ 确 定 ” 按 钮 ,如 图 6-20 所 示 。 
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图 6-20 BOB Hu: 


(4) 预览 报表 “ 表 -4 防火 墙 各 事件 总 数 报表 ”内 容 , 可 以 查看 “设备 地 址 “事件 名 称 ” 和 
“计数 ”等 信息 ,预览 完成 后 单 击 “ 返 回 ” 按 钮 ,返回 界面 后 单 击 “ 取 消 ” 按 钮 ,如 图 6-21 所 示 。 
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表 -4 防火 场 各 事件 总 数 报表 


报表 时 间 范 围 :2017-12-23 00:00 -- 2017-12-21 00:00 ”报表 生成 时 间 -2017-12-23 16:23 
2,500 
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-一 


F miä 
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te ti Hil 


Ejk oA Match security policy, name: [3], action: [perm t] 
Drop packets by session limit rule, name:[ipflaad] 

B Match security policy, name: [SSP ^ SX], action: [deny] 

B Match security policy name: [Sz ffsi19zsBisn], action: [deny] 


B Match security policy, name: [KEE], action: [permit] 
E Drop packets by session limit rule, name: [E $$ Se JL Je TE pe de pd ee] 
m Match security policy name:[to, FAflitiggehm WESDO, action: [permit] 


CER O O BR 计数 


172. 15. E. 10D Match security policy, mama: [3], 
action: [permit] 

i72. 16. E. 10D Drop packets by session limit rule. 
name: [ipflocd] 

i72. 16. E. 10D Match security policy, mans: At 
fE-EE] action:[dsny] 

i72. 16. E. 100 Match security policy, mame: l 
iH], action: [den] 

172. 16. E. 100 Match security policy, mma: [e 
E ]. action:[perzit] 


i72. 16. E. 10D Drap packets by session limit rule. 
auc. MARL ET MEI 


172. 16. E. 10D Match zecurity policy, nrzmse:[to 本 
BORG, acti: [permit] 


图 6-21 预览 报表 -2 
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mum 日 志 审 计 与 分 析 实 验 指导 ”ES 


(5) 单 击 “ 运 行 ” 按 钮 ,生成 报表 ,如 图 6-22 所 示 。 


本 S ouo 9 tH B 4 
IS SecFox-LAS A y " ac - 


Lu 


: 你 主页 Ere Gae Doa | 7owre| 2am omo T mmBe 

审计 2 77 南 计 > MERE > MAARRE > 表 -4 Mkasa 
Ut BEVPOR cem [mum] guum 

[3] Ee Vi E 基本 信息 | | 调查 信息 


Uh 综合 审计 报 理 EEE 去 -4 Dessa 
UBEST 
T rni ERES (Ege 


CU Beers X-« BEXSBEGE PESE 


预定 次 报 表 Tat 
C3 TES 
=J UTM 设 备 


En] 去-1 Ebo ORDRE SER dte 
FIEGdU Y Tr 

EMIL EI DUE E 

EE 

mn] 5-5 防火 增 各 等 级 可 忻 总 汝 统计 

qn] 89-6 Erika Sois 
MEESOEXE UU LT 
MO AES easet 


图 6-22 单 击 “ 运 行 ” 按 钮 -2 


(6) 在 “运行 报表 ”界面 中 , 单 击 “确定 ”按钮 ,如 图 6-23 所 示 。 


Qa E m- Gar bhan Tatr Den AnA TERROS 
loo Bt EnEUWGHE > PLAGER O 表 -4 MESNINE 


ETER 
J 让 定义 窗 计 所 天 时 间 范 国 
"hier 

EIL 

Th 日 志 分 析 氢 告 


入 定义 报表 
c3 BOEVGEUR 
EH] UTIMS 
mc fENSEBUEIÉEEE 
日 O I DET 
2203 Hexe 
E-c3 ARRERA 
“ 国 雪 -1 防火 墙 各 目的 地 址 事 习 等 级 前 类 和 4 
- 国 要 -2 防火 墙 各 源 地 址 事件 等 级 总 数 皖 ; 
i-em] 委 -3 控 目的 地 址 脏 计 防火 情事 性 扎 志 
ZEE XI LL 
i] -s Proctor tht 
EE XT i-re EE 
ME-cEXET Lol pur 
E A&tan diesel 


图 6-23 生成 报表 -2 
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Egg 第 6 和 章 查询 与 报表 m 


CD) 如果 弹 出 提示 界面 , 单 击 “保存 ?按钮 ,如 图 6-24 所 示 。 


名 称 : 表 -4+ 防 火 墙 香 事件 总 数 报表 . pdf 
类 型 Foxit Reader PDF Document 
来 源 : 10.70.25.88 


图 6-24 保存 报表 -2 


(8) 打开 下 载 的 报表 ,可 见 详细 的 防火 墙 防护 信息 ,如 图 6-25 所 示 。 
表 志 4 防火 场 各 事件 总 数 报表 


报表 时 间 范 围 2018-03-20 00:00 — 2018-03-21 00:00. 报表 生成 时 间 2018-03-20 17 07 


B 网 络 连 接 相 关 事 件 Om 通信 策略 允许 看 通信 策略 不 允许 四 策略 允许 E Tracert 

B quit * 攻击 日 志 E ICMP Unreachable 

E phasel negotiation failed due to time up. 0e335f5486f782af:00000000000 
图 配置 管理 


phasel negotintion Bild due to tim eup, 
0335848617 82af0000000000000000 


6-25 ”查看 报表 信息 -2 


(9) 依次 单 击 “ 预 定义 报表 ”一 “等 级 化 保护 报表 组 >“ 网络 安 全 报表 组 >“ 入侵 检 
测 设 备 报表 组 ”>“ 表 -2 人 侵 检 测 系统 事 件 总 数 统计 ” ,如 图 6-26 所 示 。 
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mm 日 去 审计 与 分 析 实 验 指 村 IE 


预定 多 报表 
cg 预定 义 报表 
J-J UTM 设 备 
本 -策略 变 村 审计 报表 
E-S 等 级 化 保护 报表 组 
” ES 网 络 安全 报表 组 
DO 防火 墙 设备 报表 组 
”日 -名 入 侵 检 测 设备 报表 组 
EME-EXIN S E 
CED Eea 
-加 素 -3 入 食 检 测 系统 各 目的 地 址 事件 等 级 事 
[m] 8-4 入 侵 检 测 系统 各 源 地址 事件 等 级 事件 
(000 [m] 8-5 入 侵 检测 系统 各 等 级 事件 总 数 统计 
(mec 网 络 设备 报表 组 
— BC 应 用 安全 报表 组 
自问 主机 安全 报表 组 
由 - 问 ) 流 县 窗 计 报表 
mc 审计 对 象 报表 
中 -站 事件 趋势 图 
SC 数据 库 审 计 系统 报 雪 
由 C) fi RR 


< 


图 6-26 打开 预定 义 报表 -3 
(10) 单 击 “ 预 览 ? 按 钮 ,预览 报表 内 容 , 如 图 6-27 所 示 。 


O 审计 > 预定 义 报表 > 入 侵 检 测 设备 报表 组 > 表 -2 入 侵 检 测 系统 事件 总 数 统计 
国运 行 局 调 度 
报表 名 称 * 


创建 者 * 


康 -2 入 侵 检测 系统 事件 总 数 统计 
修改 者 | 


表 -2 入 侵 检 和 测 系 统 事 件 总 数 统 计 
Laus 


图 6-27 单 击 “预览 ”按钮 -3 


(11) 配置 预览 参数 ,“ 时 间 范 围 ” 选 中 “相对 时 间 ” 单 选 按 钮 并 设置 为 “本 天 ”,TOP 设 
置 为 10, 单 击 “ 确 定 ” 按 钮 ,如 图 6-28 所 示 。 


194 


第 06 章 查询 与 报表 me 


me EA 


[sx w] 


EI 
tL | 
a | 


LENZ 


6-28 配置 预览 参数 -3 


(12) MARR 3€-2 入 侵 检测 系统 事件 总 数 统计 ”内 容 , 可 以 查看 “事件 名 称 ” 和 “ 计 
数 ” 等 信息 ,预览 完成 后 单 击 “返回 ”按钮 ,返回 上 一 级 界面 后 单 击 “取消 ”按钮 ,如 图 6-29 
Br. 


889| 758] NL] M « » » cleo] | ER 


表 -2 入 侵 检 测 系统 事件 总 数 统计 


SzEHETSE-2018-03-20 00-00 — 2015-03-21 00:00 ”报表 生成 时 间 :2018-03-20 17-22 


m m | 
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事件 和 名称 
m [S0193]PPLive 在 线 流 媒 体 播 扫 10D7 m accept & 登录 成 功 


图 6-29 预览 报表 -3 
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日 志 审 计 与 分 析 实 验 指 慎 D 


(13) 单 击 “运行 ?按钮 ,生成 报表 ,如 图 6-30 所 示 。 


H 南 计 > 预定 义 报 表 > 入 侵 检 测 没 备 报表 组 > 表 -2 入 侵 检测 系统 吉 件 总 数 统 计 
CE 预览 E 调度 


K]6-30 单 击 “运行 ”按钮 -3 


(14) 在 “运行 报表 ”界面 中 , 单 击 “确定 ”按钮 ,如 图 6-31 所 示 。 


PEF, 
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IS SecFox-LAS 


f xm gar Gt bau Tehri Ger Azar € xm 
市 计 & O mito 预定 六 报到 > ABMOHÉOIMENUH > 表 -2 久 侵 习 测 生 统 韦 件 总 数 统 计 


国 自 定 必 审计 慑 去 JIB}; à tardat] 
Dm E. | 
TA SREE — BH 
T 中 间 表 管理 M | D 


T series © — 1e 
PDF 


im IV 


TENES 

cy 预定 义 报表 

C3 UTM 设 备 

Hep 第 略 变 更 南 计 报 去 

Eo Ste] IRR 

| EMCg RASAR 

由- 器 防火 培 设 音 报 去 组 

| | EC. 入 恨 检 市 设备 报表 组 

MEMNMCUEXET I DEL E EL 
”| | bg mee AG ith t 
MEUM UEXPN. ESI ITI. 
MEMNMCUEZEN T E ae 
(00 [n] $5 Agua LE 
MN EE 

NIRE 

| Pec] 主机 安全 报表 组 

H-0 流量 市 计 报 雪 

H-O 南 计 对 条 报表 

O pape 

中 -站 EUSEEST HESS 

UNE E 

Cj 总 体 报表 


< 


图 6-31 生成 报表 -3 


m f F E0557 - 


(15) 如 果 弹 出 提示 界面 , 单 击 “保存 ?按钮 ,如 图 6-32 所 示 。 
文件 下 载 
您 想 打 开 或 保存 此 文件 吗 ? 


名 称 : 表 -2+ 入 侵 检测 系统 事件 总 数 统计 . pdf 


WA: Foxit Reader PDF Document 


图 6-32 保存 报表 -3 
(16) 打开 下 载 的 报表 ,可 见 详细 的 入 侵 检 测 系 统 防 护 信息 ,如 图 6-33 所 示 。 
表 -2 入 侵 检 测 系统 事件 总 数 统 计 


38 zem [8] $i [83 2018-03-20 00:00 —2018-03-21 00:00. 报表 生成 时 间 2018-03-20 1729 


事件 名 称 


图 6-33 查看 报表 信息 -3 


(17) 依次 单 击 * 预 定义 报表 ”一 "等 级 化 保护 报表 组 一” 网络 安全 报表 组 -网 络 设 
备 报表 组 ”一 表 -1 网 络 设备 各 种 事件 统计 ”, 如 图 6-34 所 示 。 
(18) Hd" fiL" TEL. BAL dE VI AUI 6-35 所 示 。 
(19) 配置 预览 参数 ,“ 时 间 范 围 ” 选 中 “相对 时 间 ” 单 选 按钮 并 设置 为 “本 天 ”,TOP 设 
置 为 10, 单 击 “ 确 定 ” 按 钮 ,如 图 6-36 所 示 。 
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m 日 去 审计 与 分 析 实 验 指导 ”IE 


预定 义 报表 
S 预定 义 报表 

8-73 UTM 设 备 

由 -| 思 策略 变 更 审计 报表 

2-5 等 级 化 保护 报表 组 

| E "o HATERA 

MU DO 防火 墙 设备 报表 组 

| 由 C3 入 侵 检测 设备 报表 组 


[E 表 -1 网 络 设 2 备 各 种 事件 统计 


| mc) 主机 安全 报表 组 
H-O 流量 审计 报表 
Ho 窗 计 对 象 报表 
Hope 

HO 数 据 库 审计 系统 报表 
H- 终 庙 审计 系统 

自 .六 | 总 体 报表 


图 6-34 打开 预定 义 报表 -4 


O mut» 预定 义 报表 > 网 络 设备 报表 组 > 表 -1 网 络 设 备 各 种 事件 统计 
加 到 |] 国运 5 gam 
| 基本 信息 | | 调度 信息 | 


报表 名 称 * zm-1 网 络 设备 备 种 事件 统计 
创建 者 ” 
修改 者 i 


Im 


pus 


图 6-35 单 击 “预览 ”按钮 -4 


(20) — 网 络 设备 各 种 事件 统计 ”内 容 , 可 以 查看 “事件 名 称 汪 设备 地 址 ” 
和 “计数 ”等 信息 ,预览 完成 后 单 击 “ 返 回 ” 按 钮 ,返回 上 一 级 界面 后 单 击 “取消 ”按钮 ,如 
图 6-37 所 示 。 
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ES 第 6 章 


i Ena 


图 6-36 配置 预览 参数 -4 


查询 与 报表 m 


昌国 | 5) s e (| € ， " cleo] ED 


表 -1 网 络 设备 各 种 事件 统计 


JacmHE E) :2018-03-21 00:00 — 2018-03-22 00:00 报 宕 生成 时 间 :201 和 的 -21 09:03 


m 登陆 管理 四 端口 速率 不 匹配 E EOU-6-POLICY E EOU-6-POSTURE 
E EOU-6-SQ E OSPF 协 议 从 DOWN 切 换 至 DOWN 状 态 

m OSPF 协 议 从 EXSTART 切 换 至 DOWN 状 态 m 03PF 协 议 进 入 FULL 状 态 m UPDOWN 
m 端口 物理 UP 


DEDI murum — [e — 
meexua — — —  wism hh — 
(OSEPPELATISTARTS)RR EDU — [17216 8.10 (— ——  ———————— là O 


SEP EhAZ JJ DORNET I RE DONAR d 172. 16. 8. 100 

ueeumAmumg — [mnes | 
mos ——  [mueem — [e — | 
sa e hh —  — -— —] 


图 6-37 预览 报表 -4 
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= 日 志 审 计 与 分 析 实 验 指导 m 


(21) 单 击 “运行 ?按钮 ,生成 报表 ,如 图 6-38 所 示 。 


报表 名 称 ” ze-1 网 络 设备 各 种 事件 统计 
创建 者 
修改 者 

表 -1 hira aE iN 


FE 


图 6-38 单 击 “运行 ”按钮 -4 


(22) 在 “运行 报表 ”界面 中 , 单 击 “确定 ”按钮 ,如 图 6-39 所 示 。 


IS SecFox-LAS 


fs xn Bar GS au Ter San e mm o € mmBE 
审计 & © 南 计 MEVES > AfUEZGEHESXSH > 表 -2 ARRIAN HAAI 


T MENEE | 运行 报表 | 
Bx SURE HBSE FECI w» 由 对 时 间 

er 本 天 | 
Um 浇 侣 审计 报 千 (o — BRE 
T 中 间 志 管理 出 | G 
m 日 志 分 析 报 告 sl | 
PDF 


MENPE 
Cy 预定 多 报表 

C3 UTES 

由 -器 AEREE 

E-cs 等 盈 化 保护 报 志 组 

| 口 -器 MR ARR 

|| 贡品 防火 培 设 备 报 志 组 

|| DG 入 侵 恰 测 没 备 报表 组 

加 于 1 入 食 检测 系统 各 事 付 等 级 如 件 癌 凑 缠 
oo E AREAS 
ENMMU EXEAT EDI I. 
|， nf Sa ABEIESGHSIEREU Sets 
MEM UESZPALGIEDIITUEN CU UR 
[o0 mō HERES 

| nC) HRS 

自白 主机 安全 报表 组 

HC Vi HESE 

HC) RHE 

O 事件 趋势 图 

H- 数据 库 审 计 系统 报表 

mC EARE 

Cj Bags 

£ 


图 6-39 生成 报表 -4 


(23) 如 果 弹 出 提示 界面 , 单 击 “保存 ”按钮 ,如 图 6-40 所 示 。 
(24) 打开 下 载 的 报表 ,可 见 详细 的 网 络 设备 各 事件 信息 ,如 图 6-41 所 示 。 


【实验 思考 】 
如 何 根据 源 地 址 统计 防火 墙 设备 的 事件 信息 ? 
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您 想 打开 或 保存 此 文件 吗 ? 
e) 名 称 ， 表 -1+ 网 络 设备 各 种 事件 统计 . pdf 


类 型: Foxit Reader PDF Document 
JẸ.: 10.70.25.88 


打开 (0) 保存 G) 


6-40 ”保存 报表 -4 


R- 网 络 设备 各 种 事件 统计 


报表 时 间 范 围 2018-03-210010 一 2018-03-220000 JERE Falc] [i8] 2018-03-21 09 05 


事件 名 称 

m 登陆 管理 转 靖 口 速 率 不 匹配 -EOU-6-POLICY E EOU-6-POSTURE 

E EOU-6-SQ 国 O9SPF 协 议 从 DOWN 切 换 至 DOWN 状 态 

加 OSPF 协议 从 EXSTART 切 换 至 DOWN 状 态 E QSPF 协 议 进入 FULL 状 态 E UPDOWN 
m 省 口 物理 UP E QSPF 协 议 从 EXCHANGE 切 换 至 DOWN 状 态 


事件 名 称 没 备 地 址 1 
C 
[EurolrY a | 
0 SPF 协 议 从 EXSTART 切 换 车 DOWN 状 态 |1216800 | | 
[0 SPF 协 议 从 DOWN 切换 至 DOW NN 状态 — [172.168.100 
|o seii Ar Los 
woma peo hm 
4 


CIS d 172.165.100 


IP E 
端口 物理 0 
:0 U 63 
i STU RE 
| m LUE 
172.183.100 


图 6-41 查看 报表 信息 -4 
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6 果 日 志 审计 与 分 析 系 统 主机 安全 日 志 查询 
分 析 实验 


【实验 目的 】 


通过 对 日 志 审计 与 分 析 系统 报表 的 配置 ,掌握 主机 安全 报表 的 生成 与 分 析 方法 。 
【知识 点 】 
主机 安全 报表 。 


ETES 

A 公司 的 日 志 审 计 与 分 析 设 备 由 安全 运 维 工 程 师 小 王 负 贡 。 运 维 部 张 经 理 要 求 小 
王将 主机 安全 (Windows 主机 ,数据库 和 字符 型 服务 天) 相关 事件 分 析 的 结果 作为 工作 内 
容 汇 报 的 一 部 分 ,但 小 王 觉 得 手动 完成 报告 较 膝 烦 , 想 要 通过 日 志 审 计 与 分 析 设 备 的 报表 
完成 。 请 思考 应 如 何 操 作 。 

【实验 原理 】 

主机 设备 的 日 志 中 包含 主机 运行 时 的 各 类 事件 ,除了 主机 日 第 运行 的 相关 运行 日 志 
信息 外 ,还 可 能 包含 主机 遭受 攻击 时 的 登录 操作、 账号 等 相关 日 志 内 容 , 这 些 内 容 标 识 了 
攻击 者 的 攻击 技术 手段 和 意图 。 通 过 对 此 类 日 志 信 息 的 审计 与 分 析 , 获 取 和 监测 主机 运 
行情 况 及 安全 威胁 ,为 安全 管理 人 员 设 计 相 关 的 安全 管控 策略 ,加 强 主 机 的 安全 性 和 有 效 
运行 提供 支撑 。 

【实验 设备 】 

。 安全 设备 : 日 志 审 计 与 分 析 设 备 1 R. 

。 EHL m: Windows XP 主机 1 台 。 

【实验 拓扑 】 

日 志 审 计 与 分 析 系 统 主机 安全 日 志 查 询 分 析 实 验 拓扑 图 如 图 6-42 所 示 。 


GEI: 10.70.25.88 


管理 机 : 10.70.25.22/24 
(以 实际 IP 地 址 为 准 ) 


6-42 日 志 审 计 与 分 析 系 统 主机 安全 日 志 查 询 分 析 实 验 拓扑 图 


WXP 虎 拟 机 : 172.16.8.100/24 
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【实验 思路 】 


C) 登录 WXP 虚拟 机 癌 日 志 服 务 紫 发 送 防 火 墙 日 志 。 
(2) 以 管理 员 admin 的 身份 登录 日 六 审计 与 分 析 系 统 。 
(3) 启用 日 志 解 析 文 件 。 

(4) 预览 主机 安全 报表 。 

(5) 运行 并 分 析 主 机 安全 报表 。 


【实验 步 桑 】 


与 6. 1 节日 志 审 计 与 分 析 系 统 预定 义 报 表 实 验 的 步骤 基本 相同 , 谈 者 可 参考 6.1 市 
中 的 内 容 进 行 相 应 的 操作 ,本 市 不 再 芍 述 。 


【实验 预期 】 
查看 .导出 并 分 析 主 机 安全 报表 信息 。 
【实验 预期 】 


OD 依次 单 击 " 报 表 ” 一 “预定 义 报 表 " 一 "等 级 化 保护 报表 组 ”一 “主机 安全 报表 组 ”一 
"Windows 主机 报表 组 ”>“ 表 -1 Windows 服务 吾 事 件数 量 统 计 ” ,如 图 6-43 所 示 。 


cj UTM 设 备 


^| 8&-10 Windows 服 务 器 事件 趋势 图 


tea] 25-11 Windows FR REEMS 
] tes] -2 Windows 服 务 器 各 类 案件 统计 
E 8-3 遇 ndows 服 务 器 操作 事件 统计 
十 | &-4 Windows 服务 器 高 等 级 事件 统 
“二 | 8-5 Windows 服务 器 高 等 豚 事件 详 
“| 可 | 3&-6 Windows 服务 器 登陆 成 功 事件 
^l] 3-7 Windows 服 务 器 登陆 失败 事件 
Te] 5-8 Windows 服务 器 注销 事件 统计 
二 | 表 -9 Windows 账 叶 相 关 事件 统计 
>O 2 
+O 字符 型 服务 器 报表 组 
- — 


图 6-43 ”打开 预定 义 报 表 -5 
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日 志 审 计 与 分 析 实 验 指导 | : 


(2) fd; m v Tg . Tu v dV. 6-44 Brzn. 


中 But 预定 义 报表 > Windows 主机 报表 组 > X1 Windows 服务 器 囊 件 数量 统计 
mes gam 
| 基本 信息 || 调度 信息 | 


表 -1 Windows 服务 器 事件 数量 统计 


X-1 Windows RASS FAE £p 


图 6-44 Hi" BL" TRIS 


(3) 配置 预览 参数 “时间 范围 ?选中 “相对 时 间 ?” 单 选 按钮 并 设置 为 “本 天 ”,TOP 设 
置 为 10 , 单 击 “确定 ”按钮 ,如 图 6-45 所 示 。 


图 6-45 配置 预览 参数 -5 


(4) fiiv de" 36-1 Windows 服务 第 事件 数量 统计 ”内容 ,可 以 查看 “设备 地 址 ”和 
“计数 ”等 信息 ,预览 完成 后 单 击 “返回 ”按钮 ,返回 上 一 级 界面 后 单 击 “取消 ”按钮 ,如 
图 6-46 所 示 。 

(5) 单 击 “ 运 行 ” 按 钮 ,生成 报表 ,如 图 6-47 所 示 。 

(6) 在 “运行 报表 ”界面 中 , 单 击 “ 确 定 ” 按 钮 ,如 图 6-48 所 示 。 

(7) 如 下 弹 出 提示 界面 , 单 击 “ 保 存 ” 按 钮 ,如 图 6-49 所 示 。 

(8) 打开 下 载 的 报表 ,可 见 详细 的 网 络 设备 各 事件 信息 ,如 图 6-50 所 示 。 
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me 第 6 章 查询 与 报表 mm 


&c tgp ES BEeRIM«»»rJ3solibxig| 


3«-1 Windows ARA Ra SR Hr SUR DT 


报 赛 时 间 范 图:2018-09-21 00:00 — 2018-03-22 00:00 dE EmRENB]:2018-03-21 09:12 


vU e Hull 


w 17/2.16.8.100 


6-46 预览 报表 -5 


6-47 单 击 “运行 ”按钮 -5 
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mmm FHSAA key mě 


H Bit MELEE > Windors HIRR > x1 Windows kaat 


B iB ER TERRI 


Sergi 


pe 
TOP*: 


确定 Eaz Ei 


6-48 生成 报表 -5 


您 想 打开 或 保存 此 文件 蚂 ? 


G 名 称 : 圳 -1+Windows 服 务 器 事件 数量 统计 . 
POF 类 型 : Foxit Reader PDF Document 
来 源 : 10.70.25.88 


图 6-49 保存 报表 -5 


KR- Windows 服 务 磺 事件 数量 统计 


报表 时 间 范 围 2018-03-21 0000 一 2018-03-22 00:00. 报表 生成 时 间 2018-03-21 09:15 


b ES 


172.168.100 


图 6-50 查看 报表 信息 -5 
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Fa 第 6 章 查询 与 报表 m 
(9) 依次 单 击 “ 预 定义 报表 ”一 “等 级 化 保护 报表 组 ”一 “主机 安全 报表 组 ”一 “数据 库 
Jit 3e 2H" " 6-1 数据 库 所 有 事件 统计 报表 ”, 如 图 6-51 所 示 。 


预定 多 报表 


C3 预定 义 报表 


H- UTM 设 备 

由 -站 | 第 略 变 更 审计 报表 

TO 等 级 化 保护 报表 组 

. EL 网 络 安全 报表 组 

和 由 ' 癌 ) 应 用 安全 报表 组 

. O9 主机 安全 报表 组 

| Œ- 一 Windows 主 机 报表 组 


-同志 10 出 除数 据 库 表 统 计 报表 
i Inn 3-11 创建 数据 库 统计 报表 
“二 | 表 -12 修改 数据 库 统计 报表 
i| 表 -13 删除 数据 库 统 计 报 表 
(| 妻 -14 创建 数据 库 用 户 统计 报表 
E] 表 -15 修改 数据 库 用 户 统计 报表 
- 国 | 表 -16 删除 数据 库 用 户 统计 报表 
国 3-17 数据 库 用 户 授权 操作 统计 # 
is] 妻 -18 数据 库 用 户 撤销 授权 操作 
-他 | 表 -19 数据 库 事件 趋势 图 
-[m]m-2 登陆 数据 库 成 功 统计 报表 V 


图 6-51 打开 预定 义 报表 -6 
(10) 单 击 “ 预 完 ” 按 钮 , 预 贤 报表 内 容 , 如 图 6-52 所 示 。 
FP 一 -一 
报表 名 称 * 


创建 者 
修改 者 


jt 


图 6-52 单 击 “预览 ”按钮 -6 


(11) 配置 预览 参数 , “时间 范围 ”选中 “相对 时 间 ” 单 选 按钮 并 设置 为 “本 月 ”,TOP 设 
置 为 3000, 单 击 “ 确 定 ” 按 钮 ,如 图 6-53 所 示 。 


(12) HARR 6-1 数据 库 所 有 事件 统计 报表 "内容, 可 以 查看 “事件 名 称 ” 和 “计数 ”等 
信息 , 预 移 完成 后 单 击 “返回 ”按钮 ,返回 上 一 级 界面 后 单 击 “ 取 消 ” 按 钮 ,如 图 6-54 所 示 。 
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s 日 志 审 计 与 分 析 实 验 指导 ”EGG 


相对 时 间 


图 6-53 ”配置 预览 参数 -6 


S0 tg egmERIx «» O_o] [iss] 


表 -1 数据 库 所 有 事件 统计 报表 


报表 时 间 范 围 -20186-03-01 00-00 -- 2018-04-01 00-00 报 囊 生成 时 间 :2016-03-27 14-48 
yu 
H HERE 
E Quidway %E1IONAT /4/TRANSD: -DEV_TYPE=SECPATH tcp; 183.60.14.110;8 
E Quidway 9,510NAT /4/TRANS(I): -DEV. TYPESSECPATH tcp;23.134.175.44;1 
timezonez"IST" device, namez"NSG3O0O00" device idz C018600037 -NLTICP ( 
8" deyname -FGT6HD3916800038 devid ZFGT6HD3916800038 logid 2 0100( 
E deyname -FGT6HD3916800038 devid-FGT6HD3916800038 logid20101( 
8" devname -FGT6HD3916800038 devid-FGT6HD3916800038 logid-0101( 
5" devname FGT6HD3916800038 devid-FGT6HD3916800038 logid-20101( 
E H3C 98611WEB/3/OPERLOG(I):-DEV TYPEZIPS client(44) 2web,user(45)- ad 
E H3C-F100E-A $9610SEC/4/STREAM (I): -DevIP = 10.10.11.22 1-DEV_TYPE=56 
m H3C-F1O0E-A 99610SHELL/4/LOGOUT (I): -DevP = 10.10.11.221-DEV TYPE 
SecGate3600 logrecord: devid23 datez"2011/06/22 11:35:34" dname=5g 


Quidway WA10NAT/A/TRANS(1):-DEV TTPE-BECPATE 

tcp: ibà. 80. i4 110;30.:17Zz. 16. id. 219:22D3- 

222. 178. 69. 180;22467: [2011/02/09 07-01:08-2011/02/08 
07:03:12] 

Quidsay *AIO0NAT/A/TRANS(1):—DEV TYPE-EFCPATE 
tcp;z22.124. 178. 44; 19785;172. 16. 22. 25; 1718- 

222. 178. 69. 130:20662: [2011/03/09 07:02:13-2011/02/09 
07:03:24] 


timezpne- IRI" Bevice name- NiG3000^ 

Havirs ide 018B500D037-KLTICP denlayment paie= Eridza" 
leg ide010302602002 leg type= Firewall" 
leg.componerte Appliance Access" log subtype- Denied" 
status" Jeny prioritr-Inforzation duration-« 

fz rgle id= user naze- ^ 


图 6-54 预览 报表 -6 
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pi 
o 
y 


查询 与 报表 m 
(13) 单 击 “运行 ”按钮 ,生成 报表 ,如 图 6-55 所 示 。 


: 基本 信息 i | 调度 信息 | 
报表 和 名称” 

创建 者 

修改 者 


Lui 


6-55  Hub"imii"fkH-6 
(14) 在 “运行 报表 ”界面 中 时间 范 围 ? 选 中 “相对 时 间 ? 单 选 按钮 并 设置 为 “本 月 ”， 
单 击 “确定 ”按钮 ,如 图 6-56 所 示 。 


时 间 范 围 © ”相对 时 间 


O ”绝对 时 间 


文件 类 型 
TOP*: 


图 6-56 生成 报表 -6 
(15) 如 果 弹 出 提示 界面 , 单 击 “保存 ?按钮 ,如 图 6-57 所 示 
(160 打开 下 载 的 报表 ,可 见 详细 的 数据 库 所 有 事件 信 


言 息 ,如 图 6-58 所 示 。 
aD 依次 单 击 “ 预 定义 报表 ”一 


“等 级 化 保护 报表 组 ”主机 安全 报表 组 ”一 “字符 型 
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EGG 日 志 审 计 与 分 析 实 验 指导 o mem 


文件 下 载 
您 想 打开 或 保存 此 文件 吗 ? 


€ 名 称 : 表 -1+ 数 据 库 所 有 事件 统计 报表 . pdf 
Ld 类 型 : Foxit Reader PDF Document 
来 源 : 10.70.25.88 


| 


Q Son DASARGERR. ATENHARE 


图 6-57 保存 报表 -6 


11 数据 库 所 有 事件 统计 报表 


报表 时 间 范 围 2018-03-01 00:00 — 2018-04-01 00.00 报表 生成 时 间 2018-03-27 1417 
事件 名 称 
E Quidway 9?9610NAT/4/TRANS(I);-DEV TYPE-SECPATH tcp;183.60.14.110;80 
E Quidway ?9610NAT/4/TRANS(D:-DEV. TYPE-SECPATH tcp;23.134.175.44;,19 
timezonez"IST" device namez"NSG3000" device id2C018600037-NLTICP c 
E devname-FGT6HD3916800038 devid-FGT6HD3916800038 logid-010004 
" devname-FGT6HD3916800038 devid-FGT6HD3916800038 logid-2010103; 
E devname-FGT6HD3916800038 devid-FGT6HD3916800038 logid2010103| 
E devname-FGT6HD3916800038 devid-FGT6HD3916800038 logid-010103 
E H3C 990611WEB/3/OPERLOG(I:-DEV TYPE-IPS client(44)-web;user(45)-ad 
E H3C-F100E-A 92610SEC/4/STREAM(D:-DevlP-10.10.11.221-DEV TYPE-SEC 
E H3C-F100E-A 99610SHELL/4/LOGOUT(D:-DevIP- 10.10.11.221-DEV TYPE-S 
SecGate3600 logrecord: devid-3 date-"2011/06/22 11:35:34" dname-Sec 


Quxway*5 5 10NAT A4 TRANS(D-DEV TYPESSECPATH 
tp 1183.60.14 11080 172. 16.14 219 3208- 


Quxzway*510NAT 4TRANSI(D-DEY TYPE-SECPATH 
155 23.134.175.44 1976 172.16.32.55 1718-7 


tm ezone- BT devre nam e N 36 3000 devre i-C01860003;- 
NLTEP dp by ent m odw Brige bg :*010302602007 
bg tpe" Fiw al bg com ponent "A pplenceA eccess 


bg abtype- D enid saue D eny prioriy= hÉm atban dumtbn-0 
f rue unr namo 


dema e" FG TEH D 3918800038 devil" FG TEH D 3916500035 
bgi*0101039936 tpe acer t zb tpe vpn bve. ném aton 
vd= mot bgdex- SSL VPN ztmtztrz acten7 tnneLlzmt 
tunneiypes zsbw eb tunnels 1319317458 rem p= 182.242.177.78 
tunnelp* (nul) use* peng 


dema e FG TEH D 3916800033 devn =FG TEH D 39816800038 
bgzi-0100040704 ype eventzubtype" zyz&m bveFnotkevd= mot 
bgdext System períim ance satetes actbnt perf-zmt cputÜ0 
men "39 babezrn*2223 dika 1] bandy :di*9936/942 atupatie 12 
dik bemi 


图 6-58 查看 报表 信息 -7 


RE iR” R- 服务 兹 事件 数量 统计 ”, 如 图 6-59 所 示 。 

(18) HAE" To vL" TEL. TUA do VI TE SE 6-60 所 示 。 

(19) 配置 预览 参数 “时 间 范 围 ? 选 中 "相对 时 间 ? 单 选 按钮 并 设置 为 "本 月 ”,TOP x 
置 为 3000, 单 击 “ 确 定 ” 按 钮 ,如 图 6-61 所 示 。 
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查询 与 报表 m 


Wit 

T 预定 义 报表 

自 定义 审计 报表 
Uh 综合 市 计 报 告 
T 中 间 表 管理 


MES 服务 器 事件 趋势 图 
-人 国 表 -2 服务 器 各 类 事件 统计 
“后 m3 服务 器 操作 事件 统计 
“ 国 表 -4 服务 器 高 等 级 事件 统计 
T) 表 -5 服务 器 高 等 级 事件 详细 报表 
Cin) 38-6 服务 器 登 陆 成 功 事件 统计 
- 国 表 -7 服务 器 登陆 失败 事件 统计 
-0 S- 服务 器 注销 事件 统计 报表 
| [| 3-9 服务 器 账号 相关 事件 统计 报 
HO 流量 审计 报表 v 
p mi iem 


图 6-59 打开 预定 义 报 表 -7 


| 基本 信息 | | 调度 信息 | 
报表 略称 ” 


[CAM 
修改 者 


yu 


图 6-60 单 击 “预览 ”按钮 -7 
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mem 日 志 审 计 与 分 析 实 验 指导 。 mm 


e ”相对 时 间 


zB v] 
O ”将 对 时 间 


„œ o 
JI—— o 
000 


6-61 BOB HESS 


(20) 预览 报 示 “* 表 -1 RAS an FAEERE C PERDER exp m SC SE S 
恩 , 预 贤 完 成 后 单 击 “ 返 回 ” 按 钮 ,返回 上 一 级 界面 后 单 击 “ 取 消 ” 按 钮 ,如 图 6-62 所 示 。 


=S 58) eS) Efe x] 4 4 "Im Ji 


表 -1 服务 器 事件 数量 统计 


报表 时 间 范 围 :2018-03-01 00:00 -- 2018-04-01 00-00 ”报表 生成 时 间 :2018-03-27 14:59 


设备 地 址 


m 172.16.8.100 


图 6-62 ”预览 报表 -7 
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第 6 齐 查询 与 报表 
(21) 单 击 “运行 ”按钮 ,生成 报表 ,如 图 6-63 所 示 。 


审计 > 预定 ※ 报 表 > 字符 型 服务 司 报 表 组 》 表 -1 BE BIOS 


基本 信息 7 调度 信息 | 
报表 名 称 ” 


下 -1 服务 器 事件 数量 统计 
创建 者 [| 
修改 者 


JAE 


图 6-63 单 击 “运行 ”按钮 -7 


(22) 在 “运行 报表 ”界面 中 ,“ 时 间 范 围 ” 选 中 “相对 时 间 ” 单 选 按钮 并 设置 为 “本 月 ” 
单 击 “确定 ”按钮 ,如 图 6-64 所 示 


时 间 范 围 ®© itta 
O yiii 


图 6-64 生成 报表 -7 
(23) 如 果 弹 出 提示 界面 , 单 击 “保存 ”按钮 ,如 图 6-65 所 示 。 


(24) 打开 下 载 的 报表 ,可 见 
【实验 n» 思考 】 


如 何 只 查看 删除 数据 库 表 的 日 志 信 息 ? 


详细 的 服务 上 冀 事 件 信 息 , 如 图 6-66 Bron. 
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Z| 6-65 ”保存 报表 -7 


R- 服务 如 事件 数量 统计 


报表 时 间 范 围 2018-03-01 00400 —2018-04-01 00:00. 报表 生成 时 间 2018-03-27 1425 


设备 地 址 


m 172.16.8.100 


共 1 条 记录 


到 6-66 ”查看 报表 信息 -7 


Em 71/1 mum 


] +g b AJr ux 
日 SPIS AT ka] 


ZG AIE ICH 


SB 7 


通过 前 6 草 的 实验 学习 ,可 基本 等 握 日 志 审 计 与 分 析 系 统 的 基本 配置 、 各 种 功能 设置 
以 及 日 记分 析 拉 能 。 本 革 的 谅 程 设计 将 综合 上 述 拉 能 完成 日 志 审 计 与 分 析 配 置 实 验 , 通 
过 评 程 设计 检验 之 前 车 握 的 各 项 技能 。 


【实验 目的 】 


本 草 的 诬 程 设计 为 日 记 审 计 与 分 析 系 统 综 合 实验 。 运 用 日 志 审 计 与 分 析 系 统 的 所 学 
知识 ,完成 对 设备 的 基本 设置 ,实现 对 内 网 设备 的 日 志 米 集 , 并 对 米 集 的 日 志 进 行 分 析 ,、 告 
25 ,归档 、 生 成 报表 等 操作 ,完整 地 擎 握 日 志 审 计 与 分 析 系 统 的 工作 流程 。 


【知识 点 】 


Web、SSH ,权限 管理 ,IP 限制 .导入 资产 .日 志 采 集 .告警 设置 .实时 分 析 、 实 时 监视 、 
趋势 分 析 .事件 查询 .归档 设置 报表。 


ETES 


A 公司 采购 了 日 志 审 计 与 分 析 系 统 , 用 于 公司 网 络 中 关键 设备 的 日 志 审 计 与 管理 ， 
小 王 是 设备 的 管理 员 ,公司 领导 要 求 小 王将 设备 上 线 并 实现 如 下 需求 : 

1 设备 的 基本 配置 

(1) 设备 可 以 实现 Web, SSH 登录 。 

(2) 设备 分 权限 管理 , 张 经 理想 不 定期 地 对 设备 进行 查看 ,需要 给 张 经 理 创 建 一 个 审 
计 管 理 员 账号 。 

(3) 不 允许 xiaoli 用 户 登 录 设 备 。 

(4) 将 公司 网 络 贤 产 录 入 日 志 审 计 与 分 析 系 统 中 ,录入 方式 为 手动 十 批量 导 人 。 


2 实现 对 内 网 设备 的 日 志 采 集 

CD 对 Linux 操作 系统 日 志 进 行 采 集 。 
(2) 对 数据 库 日 志 进 行 采集 。 

(3) 对 网 络 设备 日 志 进 行 采 集 。 

(4) 对 防火 墙 日 志 进 行 采 集 。 


3 告警 、 分 析 设 置 
CD 需要 对 日 志 进 行 告警 设置 ,如 果 每 两 分 钟 接收 不 到 日 志 , 则 发 出 告警 。 
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(2) 对 事件 进行 实时 监视 分析。 
(3) 近期 事件 趋 妈 对比 分析。 
(4) 对 防火 墙 的 日 记 中 断 事 件 进 行 查 询 。 


4 其 他 设置 

(1) 对 事件 进行 归档 。 

(2) 生成 事件 报表 ( 自 和 定义 和 预定 义 )。 
请 思考 应 如 何 实现 。 


【实验 原理 】 


(1) 日 志 审 计 与 分 析 系 统 提供 Web 和 SSH 两 种 登录 方式 ,登录 后 可 进行 相应 设置 。 
日 志 审 计 导 分 析 系 统 的 管理 员 可 以 近 权 限 划 分 为 超级 管理 员 和 安全 管理 员 、. 系 统管 理 员 、 
审计 管理 员 4 种 ,不 同类 型 的 管理 员 对 应 日 志 系 统 不 同 的 功能 模块 。 同 时 日 志 审 计 与 分 
析 系 统 也 可 以 对 登录 系统 的 用 户 IP 进行 限制 。 管 理 员 可 以 进入 “权限 ?模块 ,进行 相关 
设置 。 

(2) 日 志 审 计 与 分 析 系 统 可 以 将 网 络 设备 作为 资产 录 和 人 日 志 系 统 , 按 照 质 产 的 属性 
对 资产 进行 分 类 人 处理。 并 可 以 对 资产 进行 批量 导入 导出 操作 。 省 理 员 可 以 进入 “资产 ” 模 
块 ,进行 相应 设置 。 

(3) 日 志 审 计 与 分 析 系 统 具有 日 记 灯 和 集 功 能 ,可 以 对 内 网 中 的 设备 进行 日 记 收 集 , 例 
如 操作 系统 、 数 据 库 、 安 全 设备 等 。 

(4) 日 志 审 计 与 分 析 系 统 可 以 对 收集 到 的 日 志 事 件 进行 分 析 , 管 理 员 可 以 进入 “ 事 
件 " 重 块 对 接收 的 事件 进行 分 析 , 根 据 事件 发 展 趋 努 等 属性 分 析 事 件 特点 。 

(50 日志 审计 与 分 析 系 统 在 接收 日 志 时 ,可 以 对 日 志 的 接收 时 间 间 隅 设置 竺 营 , 即 在 
一 定时 间 内 未 收 到 日 志 , 便 产 生 千 获 , 并 可 以 对 相关 告警 事件 进行 查询 。 

(60 日 志 审 计 与 分 析 系 统 可 以 对 系统 内 的 事件 进行 备份 归档 ,防止 事件 丢失 造成 损 
R ,并 对 收集 到 的 事件 生成 报表 。 


【实验 设备 了 

。 安全 设备 : 日 志 审 计 与 分 析 设 备 1 台 , 防 火 墙 设备 1 f. 
。 网 络 设备 : MH tU. 

。 主机 终端 ， Windows XP 主机 2 台 ,Linux 主机 3 S., 
【实验 拓扑 】 

综合 课程 设计 实验 拓扑 图 如 图 7-1 所 示 。 

【实验 思路 】 


(1) 以 SSH 的 方式 登录 日 志 审 计 与 分 析 系 统 并 设置 网 络 接口 。 
(2) 以 Web 的 方式 登录 日 志 审 计 与 分 析 系 统 , 并 校正 系统 时 间 。 
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172.16.8.100/24 


172.16.8.30/24 


应 用 服务 硕 192.168.1.16/24 
172.16.8.25/24 


图 7-1 综合 课程 设计 实验 拓扑 图 


(3) 为 张 经 理 创 建 审 计 管理 员 账 号 ,六 
(4) 限制 某 IP 登录 。 

(5) 对 资产 进行 手动 录入 和 批量 导入 导出 。 

(6) 对 Linux 系统 、 数 据 库 、 路 由 器 、 防 火 增 等 设备 进行 日 志 采 集 。 

(7) 登录 winxp 虚拟 机 向 ,日志 审计 与 分 析 系 统 发 送 日 志 。 

(8) 启用 日 志 解 析 文 件 , 进 行 实 时 监视 、 实 时 分 析 、 事 件 查 询 和 趋势 分 析 。 
(9) 进行 事件 归档 设置 。 

(10) 生成 预定 义 、 自 定义 报表 。 


【实验 步骤 】 


D 登录 日 志平 台 并 完成 网 络 配置 .时 间 校 正 

(D 在 管理 机 中 单 击 Xshell 图 标 ,打开 Xshell. 

(2) 在 会 话 框 中 单 击 “ 新 建 ” 按 钮 ,创建 新 的 会 话 。 

(3) 在 “主机 ” 栏 中 输入 日 志 审 计 与 分 析 系 统 GE1 接口 的 IP 地 址 “10. 70. 25. 88”( 以 
实际 IP 地 址 为 准 ) ,其 他 设置 保持 不 变 , 单 击 “ 确 定 ” 按 钮 。 

(4) 新 建 的 会 话 会 在 “所 有 会 话 ” 中 显示 ,选中 “新 建 会 话 ”, 单 击 “ 连 接 ” 按 钮 。 

(5) 单 击 “ 一 次 性 接受 ”。 

(6) 在 “请 输入 登录 的 用 户 名 ?一 栏 中 输入 用 户 名 admin, 单 击 “ 确 定 ” 按 钮 。 

(7) TE" ER" RÀ rp ly A SERES" QD 1fw H 2soc $ 3vpn”,; 单 击 “ 确 定 ” 按 钮 。 

(8) 成 功 以 SSH 的 方式 登录 日 志 审 计 与 分 析 系 统 后 台 , 如 图 7-2 所 示 。 

(9) 输入 命令 “secfox -e ethl -p 172. 16. 8. 60 -m 255. 255. 255. 0", 设置 日 志 审 计 与 
分 析 系 统 GE2 接口 的 IP 地 址 。 其 中 ,“172. 16. 8. 60" € GE2 Hf IP 地 址 ,“255. 255. 
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Last login: Fri Jan 19 16:51:20 2018 from 192.168.34.34 
[admingSecFox LAS ~]$ 


图 7-2 登录 系统 后 台 


255. 0” Æ GE2 H AJF AIE., fk Enter 键 ,出 现 “modify ip ...”, 说 明 接 口 信 息 配 置 成 功 。 

(10) 打开 浏览 吉 ,在 地 址 栏 中 输入 日 志 审 计 与 分 析 系统 的 IP 地 址 “https://10. 70. 
25. 88”( 以 实际 IP 地 址 为 准 ), 单 击 “ 继 续 浏 览 此 网 站 ”按钮 ,打开 平台 登录 界面 。 

(11) 输入 管理 员 用 户 名 /密码 “admin/11fw@2soc#3vpn$”, 单 击 “ 登 录 ” 按 钮 ,登录 
日 志 审 计 与 分 析 系 统 。 

(12) 系统 设置 的 密码 有 效 期 为 7 天 , 当 登 录 系 统 后 收 到 更 改 密码 提示 时 , 单 击 “ 确 
定 ” 按 钮 ,更 改 系 统 密码 。 

(13) 在 “原始 密码 ”一 芒 输 入 原始 密码 “11fwQ2soc 井 3vpn 和 $”。 在 “新 密码 ”一 栏 输 
A* !1fw(22soc # 3vpn $ ". 5 Jti S ii dH [e]. Æ " B PACTI" — 559 A" T1fw(2soc € 
3vpn$”。 单 击 “ 确 定 ” 按 钮 。 

(14) 依次 单 击 浏览 器 中 的 “工具 ”一 “兼容 性 视图 设置 ”。 

(15) 在 “兼容 性 视图 设置 界面 ”, 会 自动 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “10. 70. 
25. 88”( 以 实际 IP 地 址 为 准 ) , 单 击 “ 添 加 ?按钮 ,添加 网 站 兼容 性 视图 。 

(16) 单 击 “关闭 ?按钮 ,退出 设置 。 

(17) 进入 日 志 审 计 与 分 析 系 统 后 ,依次 单 击 “ 系 统 ” 一 “系统 维护 ” ,查看 到 系统 "IP 地 
址 配置 1” 为 “172. 16. 8. 60", 

(18) 将 管理 机 时 间 与 日 志 审 计 与 分 析 系 统 时 间 统 一 。 在 日 志 审 计 与 分 析 系 统 中 , 依 
次 单 击 “系统 ”一 “系统 维护 ” ,接着 选择 “时 间 校 对 设置 ? 框 中 的 “手动 校 时 ?选项 。 

(19) 单 击 “时 间 ” 一 柱 的 钟表 图 案 。 

(20) 选择 与 管理 机 统一 的 时 间 。 

(21) fal; BE aS HAB ,退出 设置 。 

(22) 单 击 “修改 时 间 ”, 完 成 日 志 审 计 与 分 析 系 统 时 间 的 手动 修改 。 

(23) 修改 成 功 后 ,系统 会 跳 转 至 登录 界面 ,重新 输入 用 户 名 /密码 “admin/11fwG@ 
2soc 划 3vpn 中 ”, 登 录 日 志 审 计 与 分 析 系 统 。 

(24) 重新 登录 后 ,查看 系统 界面 右 下 方 的 时 间 ,与 管理 机 时 间 相 同 。 

2) 创建 审计 管理 员 用 户 

(D 完成 兼容 性 设置 后 ,关闭 兼容 性 设置 界面 ,进入 日 志 审 计 与 分 析 系 统 界面 ,选择 
“权限 ”命令 ,进入 “权限 ”模块 ,如 图 7-3 所 示 。 

(2) 依次 单 击 “ 权 限 ” 一 “用 户 管 理 ”, 进 入 用 户 管 理 界 面 , 单 击 “ 添 加 ”按钮 ,如 图 7-4 
所 示 。 
(3) 添加 用 户 时 ,首先 编辑 用 户 信 息 ,“ 用 户 登 录 名 ”和 “用 户 真 实 姓 名 ” 均 输 入 

zhangjingli,“ 登 录 密 人 码 ” 和 “确认 密码 ”输入 360testtest, 如 图 7-5 所 示 。 
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图 7-4 添加 用 户 1 


© 权限 > 用户 管理 添加 用 户 
用 户 登 录 名 * 
用 户 真实 姓名 * 
登录 密码 * 


电子 邮件 地 址 


电话 


7-5 ”编辑 用 户 1 信息 
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(4) 确定 用 户 的 “角色 信息 ”, 此 处 的 角色 信息 为 创建 用 户 的 必 填 选项 ,有 三 个 号 份 可 
以 选择 :“ 系 统 和 常理 员 有 安全 常理 员 " 和 “审计 管理 员 ”, 本 实验 中 选择 "审计 和 常理 员 ”, 单 击 
“确定 ”按钮 ,如 图 7-6 所 示 。 


HRE: RATE: EHAA 


| | 
| ms | ws 


图 7-6 选择 用 户 1 角色 信息 


(5) 添加 成 功 后 ,名 为 zhangjingli 的 用 户 出 现在 用 户 列表 中 ,如 图 7-7 所 示 。 


图 7-7 添加 用 户 1 成功 


3) 限制 IP 登录 
COD 单 击 日 志 审 计 与 分 析 系 统 界面 右上 和 角 的 “退出 ”, 退 出 当前 用 户 的 登录 ,如 图 7-8 
所 示 。 


图 7-8 登录 界面 


(2) 使 用 管理 员 用 户 名 /密码 “admin/ ! 11$w(22soc € 3vpn" f% R H a iB iT 5 4 Pr AR EL. 

(3) 进入 日 志 审 计 与 分 析 系 统 界面 ,选择 “权限 ”命令 ,进入 “权限 ”模块 ,如 图 7-9 
所 示 。 

(4) 依次 单 击 “权限 ?一 用户 管理 ,进入 用 户 管 理 界面 , 单 击 "添加 ?按钮 ,如 图 7-10 
所 示 。 
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图 7-9 进入 权限 模块 
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权限 9 权限 > 用 户 管理 > 用 户 列表 
c3 权限 添加 


aum 
Ev 


图 7-10 添加 用 户 2 


(5) 添加 用 户 时 ,首先 编辑 用 户 信息 用户 登录 名 ”和 ”用户 真实 姓名 ? 均 输 入 xiaoli， 
“登录 密码 ”为 360testtest, 如 图 7-11 所 示 。 


RPEGEKA 
RHPOBIXMES 
EESAC 
WAED 


电子 邮件 地 址 


图 7-11 编辑 用 户 2 信息 
(6) 单 击 “ 角 色 信 息 ”, 为 用 户 选 定 角色 ,有 三 个 身份 可 以 选择 :“ 系 统管 理 员 ”安全 
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管理 员 "” 和 ”审计 管理 员 ”, 本 实验 中 选择 “系统 管理 员 ”, 单 击 “ 确 定 ”" 按 钮 ,如 图 7-12 所 示 。 


用 户 信息 


一 口 ] 审 计 管理 员 


图 7-12 选择 用 户 2 角色 信息 


(7) 添加 成 功 后 ,名 为 xiaoli 的 用 户 出 现在 用 户 列表 中 ,如 图 7-13 所 示 。 


Am dx Rowe 
O 用 户 登陆 名 用 户 真实 姓名 


| ] xiaoli xiaoli 


图 7-313 添加 用 户 2 mI 


(8) 单 击 界面 右上 角 的 “退出 ”, 退 出 当前 登录 的 admin 用 户 ,如 图 7-14 所 示 。 


图 7-14 退出 当前 用 户 


(9) 使 用 创建 的 xiaoli 用 户 登 录 , 登 录 最 上 方 的 PC1 虚拟 机 ,如 图 7-15 所 示 。 


172.16.8.100/24 


GW: 192.168.1.254/24 


: PC2 
应 用 服务 器 192.168.1.16/24 
172.16.8.25/24 


图 7-15 登录 PCI 虚拟 机 
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(10) 运行 果 面 的 火狐 浏览 絮 ,在 浏览 右 地 址 栏 中 输入 日 志 审 计 与 分 析 产 品 的 IP 地 
址 “https://172. 16. 8. 60”( 即 前 述 步 又 配置 的 IP 地 址 ) 。 

(11) 单 击 “ 高 级 ”按钮 ,在 下 方 展开 的 窗口 中 单 击 “添加 例外 ”按钮 。 

(12) 在 弹出 的 “添加 安全 例外 ”界面 中 , 单 击 “确认 安全 例外 ”按钮 。 

(13) 打开 平台 登录 界面 ,使 用 用 户 名 /密码 “xiaoli/360testtest” 登 录 设 备 平台 。 

(14) 浏 贤 絮 弹出 更 改 密码 的 通知 ,表明 登录 成 功 。 

(15) 返回 管理 机 ,在 浏览 妖 地 址 栏 中 输入 日 志 审 计 与 分 析 产 品 的 IP 地 址 “https:// 
10. 70. 25. 88”( 以 实际 IP 地 址 为 准 ) ,打开 平台 登录 界面 ,使 用 用 户 名 / 密 但 “admin/y 11lfw 
@2soc# 3vpn" XE o& B $8 FR. 

(160 登录 admin 用 户 后 ,依次 单 击 “ 权 限 " 一 ”"IP 登录 限制 ”, 如 图 7-16 所 示 。 


IS SecFox-LAS 
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bm O 权 限 > 用 户 管理 > 用 户 列表 

3 权限 "$:91 91 

y 
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图 7-16 进入 “权限 ?模块 之 三 


(17) 单 击 “添加 ?按钮 ,添加 限制 登录 的 IP 地 址 ,如 图 7-17 所 示 。 


图 7-17 添加 限制 登录 的 卫 地 址 


(18) 用 户 设置 为 xiaoli, ^55 b IP 登录 地 址 ”输入 “172. 16. 8. 100”, 单 击 “ 确 定 ” 按 钮 ， 
如 图 7-18 所 示 。 


O 权限 > Jp 登录 限制 
一 添加 Wen = ms 
浴 加 过 滤 IP 
用 户 : xadi = 
禁止 IP 登 录 地 址 : — 472 16.8.100 
区 证 IP 登 录 地 址 : 


| pm m» 


图 7-18 填写 限制 登录 IP 
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(19) 单 击 “确定 ”按钮 ,返回 “IP 登录 限制 ?界面 ,可 见 添加 的 规则 信息 ,如 图 7-19 
所 示 。 


OAR > IP 登 录 限 制 
An BET 


Ir HP IP 地 址 时 间 
加 xiaoli 172.16.8.100 2018-04-26 11:38:15 


图 7-19 添加 的 规则 信息 


(20) 再 次 返回 实验 拓扑 上 方 的 PC1 P dE AC I a HP BEIK X o . n] DG C. 48 BR d] XE 
录 ,如 图 7-20 Br. 


Arb) 蝙 辑 代 ) EFW DEG ËP IS 帮助 出) 加 回国 | 


Bus ü 


(«4e (DRE. hup //112. 16.8.6071 


APERET ARRERA. 


图 7-20 ”限制 登录 


4) 资产 录 人 及 批量 导 人 导出 

(1) 登录 admin Hl P. fE DU W as HU RE TS CP d ACH xs CT SS Ar Dro ds Hy IP 地 址 
"https://10. 70. 25. 88" 以 实际 IP 地 址 为 准 ), 打 开平 侣 登录 界面 ,使 用 用 户 名 /密码 
"admin/ !1fw(322soc # 3vpn" Xt oe ix fp t3. 

(2) 进入 日 记 审 计 与 分 析 系 统 界 面 ,选择 “资产 ”命令 ,进入 “资产 ”模块 ,如 图 7-21 


Bra. 
(3) 首先 进行 资产 分 组 ,创建 新 的 资产 组 ,选中 “资产 对 象 ”, 单 击 “ 添 加 ”按钮 ,如 图 7-22 
所 示 


(4) 输入 新 资产 组 名 称 为 “服务 器 ”, 单 击 “ 确 定 ” 按 钮 ,如 图 7-23 所 示 。 

(5) 同时 也 可 以 对 已 添加 的 资产 组 进行 修改 .删除 .导入 和 导出 等 操作 ,根据 需要 进 
行 , 本 实验 不 再 演示 ,如 图 7-24 所 示 。 

(6) 接 下 来 进行 资产 录入 , 单 击 新 创建 的 资产 组 服务 器 ”, 再 单 击 “添加 ”按钮 ,进行 
资产 添加 ,如 图 7-25 所 示 。 
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添加 启用 告警 规则 


7-21 进入 “资产 ”模块 


IG. SecFox-LAS 


gg] 资产 日 志 


mea 
aoe aaa c2 a, im 


mre 


bs co 2 0 mm a| im 


c ms 


图 7-23 ”编辑 资产 组 信息 图 7-24 编辑 资产 组 信息 


LM ^ 0 资产 > 资产 村 各 > 眼科 器 > 设备 列表 
uu FENS 设备 列表 | | ar Rit 
而 资产 尾 性 hx Bg Re Agg 去 导入 deu 
[ur] 资产 日 志 [] REER 设备 IP: 

[] Windows 服 务 器 102.158.1.70 
资产 对 岛 


G Cg Cg Ch Ch- Cg Oy 


7-25 ”添加 资产 


CD 编辑 资产 信息 , “设备 名 称 ” 输 入 “Windows 服务 器 ”, “设备 IP” 输 入 “192. 168. 1. 70", 
“ 子 网 掩 码 ” 输 入 “255. 255. 255. 0", I A 2E RE RE "5p, 3.0; 选 择 RARAN” H RA A”, 
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日 志 审 计 与 分 析 实 验 指 导 
“设备 型 号 ”为 Windows。 本 实验 中 给 出 的 设备 IP、 子 网 掩 码 等 信息 仅 供 参考 ,请 根据 实 
际 情 况 输入 , 单 击 “ 确 定 ” 按 钮 ,如 图 7-26 所 示 。 


(€ IPv4 OIPv6 


192 168 1.70 


] Arth TE 
Hinau J FY 


图 7-26 编辑 资产 信息 
(8) 完成 添加 后 ,可 以 在 设备 列表 中 看 到 新 孙 和 人 的 质 产 ”Windows k3 ss. an E] 7-27 
所 示 。 


Ema) iex ik Me Bgd oe 3G e 


v] ite 设备 IP = 
Windowsig4z8R 192.168.1.70 


图 7-27 资产 组 列表 


(9) 在 要 修改 资产 信息 ,选中 质 产 地 址 , 单 击 " 修 改 ”, 重 新 编辑 资产 信息 。 同 理 , 也 可 


以 进行 删除 .移动 . 导 人 和 导出 等 操作 ,如 图 7-28 所 示 。 
(10) 完成 资产 导出 后 进行 资产 导入 ,新建 “ 防 火 墙 ” 资 产 组 , 单 击 “新 建 ”按钮 ,并 输入 


资产 组 名 称 为 “防火 墙 ”, 如 图 7-29 所 示 。 
SEP HR 
GR C» Cg Ch Ct - Cg Q, iui 
sion [E esas] ume Cha) eX $ SH 添加 资产 对 象 组 x 
ema x*| 


Windows 服 务 器 192.168.1.70 


图 7-29 新 建 资 产 组 


图 7-28 修改 资产 信息 
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第 T 章 zz ez) 合 课 程 设 计 
(1D 在 批量 导 人 资产 信息 时 ,只 有 符合 日 志 系 统 要求 的 格式 才 可 以 被 识别 ,因此 需 


要 按照 模板 来 输入 质 产 信息 , 单 击 " 导 和 "按钮 ,并 单 击 " 下 载 ? 按 钮 即 可 进行 模板 的 下 载 ， 
并 将 其 存放 于 管理 机 昧 面 , 如 图 7-30 所 示 。 


(E 资产 Exe > 防火 墙 > 设备 列表 
设备 列表 资产 事件 统计 


Tan Dex ee Benl $ SA iss 


| 
CERSA ORSSGA 
[RE 

清 选 择 从 本 系统 导出 的 设备 文件 { xml、csv、xls 或 包含 kml 的 Zip 文件 ) 或 使 用 手动 录入 “和 导 人 模板 ”的 设备 文件 


图 7-30 下载 导 人 模板 


(12) 打开 刚刚 下 和 载 的 模板 文件 ,按照 模板 输入 资产 信息 ,需要 输入 的 有 "设备 名 称 ” 


“设备 IP”“ 子 网 掩 码 “业务 关键 度 ”“ 设 备 类 型 ”设备 型 号 ”和 “设备 位 置 ” 等 信息 ,按照 


图 7-31 进行 输入 ,输入 完毕 后 ,以 xls 格式 另存 至 管理 机 桌面 ,如 图 7-31 所 示 。 
TN IP s EET d E F G T | 


J K L M N 
MACHTE 由 TREH KEES ”| 设备 位 置 联系 方式 | 设备 描 壕 EAFA | 设备 责任 人 设备 使 用 澳 组 次 机构 

360E5 Jd 122.168.1.50 (255.255.255.0 二 全 设备 | 普通 防火 墙 “北京 市 :北京 市 

360 防 火 增 2 192.168.2.50 |255.255.255.0 去 全 设备 普通 防火 墙 “ 北 京 市 :北京 市 

360Eh X183 192.168.350 (255.255.255.0 Sewa sama ”北京 市 :北京 市 


图 7-31 输入 资产 信息 


(13) 单 击 “ 导 入” 后 ,选择 导入 的 资产 信息 文件 以 及 导入 方式 ,系统 提供 两 种 导入 方 
式 ,分 别 是 “ 增 量 导 人 ”和 “覆盖 导入 ”, 本 实验 中 选择 “ 增 量 导入 ”。 单 击 “ 浏 览 ” 按 钮 ,并 先 


择 存 放 在 管理 机 曙 面 的 资产 文件 assetlmportTemple. xls, 单 击 “ 确 定 ” 按 钮 ,完成 资产 批 
量 导 入 ,如 图 7-32 所 示 。 


) 资产 > 资产 对 和 急 LB 防火 培 > 设备 列表 

设备 列表 | | 资产 事件 统计 
"sen Pex hme Ses 电导 入 $ SH 
FARE 

文件 = 

TARE 

GAGE 


e BER | CERA 

T 

igi EE EnaA (xml. csv. xlssktzsxmlifSzipsett ) SkGPFHS-AERAN "EUdSEE" [itta 
BENE RAAR 设备 IP 


图 7-32 FAR 

5) KER H i H a 

(1) 选择 con-router , FJ JF Fit His . an El 7-33 所 示 。 

(2) 输入 用 户 名 admin, 3 yz , OKER H Ar. WE 7-34 所 示 。 

(3) 输入 命令 “ip addr pri" . ÆA A ig H 4r AFAJ IP 配置 。 其 中 ,与 Windows 系统 相 


连 的 接口 2 的 IP 地 址 为 “192. 168. 1.254”, 与 日 志 审 计 与 分 析 系 统 相 连 的 接口 1 的 IP 地 
址 为 "172. 16. 8. 1”, 如 图 7-35 所 示 。 


(4) 输入 命令 “/system ntp client”, 设置 时 间 同 步 , 如 实验 环境 不 能 连接 外 网 ,此 过 
程 仪 用 于 熟悉 设置 ,后 续 骨 增加 设置 时 间 的 步骤 ,如 图 7-36 所 示 。 
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172.16.8.100/24 


= 


Windows XP 


22 
A LI 
prt SO HHL 
Paco | GW: 192.168.1.254/24 


PC 
应 用 服务 顷 192.168.1.16/24 
172.16.8.25/24 


图 7-33 FJI EK His 


MikroTik 5. 


d ^ | | 
172.16.8.1^24 172.165.8.8 ether1 
192.168.1.254^24 132.168.1.0 ethers 

TIKI il 2 


7-35 BR 28 IP 配置 


[adminBMikroTik] T stem ntp client | 


LadninBMikroTik]l zsystem ntp client?» _ 


7-36 ”设置 时 间 同 步 


(5) 输入 命令 "set mode = unicast primary-ntp — 210. 72. 145. 44 secondary-ntp = 
210. 72. 145. 44 enabled yes" . ix Er ntp 地 址 ,如 图 7-37 所 示 。 


admin@NikroTik] »system ntp client» set mode-unicast primary-ntp-210.72.145.44 


secondaruy-ntp-Z1H.72.145.44 enabled-yes 
ladmineTlikroliKkl ^sustcm ntp cilent? 


7-37 ”配置 ntp 地 址 


(6) 输入 命令 “..”, 回 退 至 上 一 级 ,如 图 7-38 所 示 。 


[admin@MikroTik] syustem ntp client» set mode-unicast primaruy-ntp-218.72.145.44 
secondary-ntp-218.72.145.44 elient>| 


[adninBMikroTikl syustem ntp client»? 
[adminBMikroTik] »sustem ntp> 


图 7-38 回 退 至 上 一 级 
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第 7 章 综合 课程 设计 


CD 输入 命令 “..”, 回 退 至 system 目录 ,如 图 7-39 所 示 。 


[adninBMikroTikl »sustem ntp client»? .. 


[adminBMikroTik] -system ntp» 
[adminBMikroTikl »sustem» 


7-39 回 退 至 system 目录 
(8) 输入 命令 “..”, 回 退 至 根 目 录 , 如 图 7-40 所 示 。 
LadminBMikroTikl ^sustem ntp client? .. 


[adminGü8MikroTikl »suystem ntp» .. 
[adminGMikroTik]l /sustem|...] 
[adminBMikroTik] > 


7-40 B E S B o 


(9) 输入 命令 “system clock print”, 查 看 路 由 带 当 前 的 时 间 ,如 图 7-41 所 示 。 


[adminBMikroTik] > system clock print 
tine: 1H:25:15 


date: apr^zZb5^2H18 
time-zone-name: manual 
nmt-offset: +00:00 


图 7-41 显示 当前 系统 时 间 


(10) 输入 命令 “system clock set time— 10:38:00 date 王 apr/26/2018”( 时 间 及 日 期 
设置 以 实际 时 间 为 准 ) ,其 中 ,time 代表 时 间 date 代表 日 期 ,如 图 7-42 所 示 。 


[adminBMikroTik] > system clock set time=10:38:00 date-apr^2672018 


[adminBMikroTikl > _ 


图 7-42 设置 当前 时 间 


(11) 输入 命令 “/system clock print”, 查 看 修改 后 的 系统 时 间 , 与 管理 机 时 间 统 一 ， 
如 图 7-43 所 示 。 
[adminBMikroTikl > system clock print 


time: 18:38:34 
date: aprzZ65^728H18 


tine-zone-name: manual 
gnt-offset: «HBB:HB 
[adminBMikroTikl > 


图 7-43 查看 修改 时 间 


(12) 选择 实验 拓扑 图 中 右 侧 的 PC2 ,登录 系统 ,如 图 7-44 Bron. 

(13) 单 击 果 面 上 的 “实验 工具 ”文件 来, 双击 winbox 文件 来 ,查看 winbox 工具 。 
winbox 是 基于 Windows 的 远程 管理 RouterOS 路 由 系统 的 软件 ,为 用 户 提供 直观 方便 的 
图 形 界面 ,如 图 7-45 所 示 。 

(14) 双击 “winbox5.x 中 文 版 .exe”, 打 开 winbox 工具 ,在 “路 由 地 址 ?一 栏 输入 路 由 
器 接口 2 的 IP 地 址 “192. 168. 1. 254”, 单 击 “ 连 接 ” 按 钮 ,如 图 7-46 Bron. 

(150. 依次 单 击 “系统 ”一 日志”, 打 开 winbox 的 日 志 管 理 , 如 图 7-47 所 示 。 

(16) 在 “日 志 ” 界 面 中 单 击 “动作 ”标签 页 ,双击 名 称 为 remote 有 是 类 型 为 “远程 ”一 栏 ， 
配置 远程 地 址 ,如 图 7-48 所 示 。 
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172.16.8.100/24 


172.16.8.30/24 


服务 器 


k 
eU 交换 机 


h N i 


GW: 192.168.1.254/24 


| PC2 
应 用 服务 器 192.168.1.16/24 
172.16.8.25/24 


图 7-44 打开 Windows 系统 


alce 9 实验 工具 
| XQ) SECO EEV BRA IAW SBb00 
k ) Q=- Q- D Joss Hrer |E- 


Mozilla —- 
Firefox | 地 址 Qu C C:\Documents and Settings MAdmini stratorVE [E SEA; TR 


文件 和 文件 卖 任务 (A) Wi 


E E E 
A EINER 


图 7-45 打开 winbox 文件 夹 


= r j 
S NikrolIik Tın Boz Loader v2.2.18 - X 
25 

APZ: admin 


mesa 
r ege Nn) 


iv 安全 模式 


i" m&vsss TA | 
& uml — — — 


适用 版 本 ,5,20,5,22,5.24 www.roszj.com ROSZ- 2 


图 7-46 — winbox Xt fe xc Bz Hit HH 38 
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—- 00$ 综合 课程 设计 - 


^? admini97?. 1 6#. 
LIE 
#0 
e£ 


图 7-47 打开 winbox 日 志 管 理 


© admine192.168.1.254 (Nikrolik) - WinBox v5.20 on x86... |. |f [X 
IS 安全 模式 v 隐秘 密码 go 
mE 


— 0 — 0 0 0 


当前 4 项 awp) 


admirí182.168 1.254 MikroTik) - WinBor v5.20 on 


7-48 打开 日 志 的 远程 设置 


(17) 在 “远程 地 址 ”一 柱 输 入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “172. 16. 8. 60”, 其 他 配 
置 保持 默认 配置 不 变 , 单 击 “ 确 定 ” 按 钮 ,如 图 7-49 所 示 。 

(18) 选择 “规则 ”标签 页 ,双击 主题 为 info 一 栏 ,如 图 7-50 所 示 。 

(19) 单 击 “ 动 作 ” 一 栏 的 下 拉 选 项 ,选择 remote, 单 击 “ 确 定 ” 按 钮 ,将 info 信息 发 送 
至 日 志 审 计 与 分 析 系 统 , 如 图 7-51 所 示 。 

(20) 将 主题 为 critical; error 和 warning 对 应 的 动作 也 修改 为 remote, 操 作 与 info 一 
臻 ,修改 结果 如 图 7-52 所 示 。 
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| 日 志 审 计 与 分 析 实 验 指 叶 —— 


? admin92.168.1.254 (EikroIikE) - WinBorg v5.20 on x£5... (s |= Ed 


DIET PET UN [Ix 


Tèt ZR: ranots 

zi | zm jui B 
a 
1F t m: 514 

: 0.0.0.0 ' 
|. BSD Syslog 


3 (daenon) |3 


we 


rgo os 当前 4 项 外 选中 1 项 ) 


图 7-49 设置 日 志 远 程 地 址 


© admin@®192. 168. 1. 254 (MikroTik) — WinBex v5.20 on x86 (x86) 加 回回 
ERL w Amra DD) 
PE xn 

Zn 

FFF 


a | EE — à ga 动作 | 


IP 1 + critical echo 


warning memory 


ma 
J 


认证 

IR 

新 的 终端 

ISDNiBiÉ 当前 4 项 t 被 选中 1 项 ) 


7-50 打开 info 规则 


© atlain@192. 168. 1.254 (NikroTik) — Finfox v5.20 on x86 (x86) Mima 


安全 模式 RSD Mui 
M 接口 


RAJ Eim 
ISDH 通 道 


图 7-51 修改 info 日 志 动 作 
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O admin$192. 168. 1.2 

- - 

“| Cs | TERT 
接口 


critical 


"ESSE 


error 
info 
warning u uu vote N 


IPv& 


图 7-52 修改 全 部 日 志 动 作为 remote 


(21) 在 日 志 审 计 与 分 析 系 统 主 界面 中 依次 单 击 资产” 一 “资产 日 志 ”, 接 着 单 击 “ 刷 
新 ”按钮 ,查看 路 由 器 IP 对 应 的 资产 日 志 管 理 信息 ,如 图 7-53 所 示 。 


Hr 


le i bau Tss Dum ASS FERDE | 


i& siib de Ei Edad 

172.16.8.100 IP 2017-12-24 14:29:38 
172.16.3.2 F it 1017-12-20 10:05:57 
192,168.1.20 z201B-01-12 06:35:10 


图 7-53 查看 路 由 器 日 志 管 理 信息 


(22) 选中 路 由 冀 的 资产 日 志 管理 信息 , 单 击 “允许 接收 ”按钮 ,使 日 志 审 计 与 分 析 系 
统 可 以 及 时 接收 路 由 颖 的 日 志 信 息 , 如 图 7-54 所 示 。 


Shi $ mailni daa- E HRAT 
172.16.88.100 - i 2017-12-24 14:29:38 syslog 
172.16.8.2 I | 2017-12-20 10:06:57 syslog 
192.158.1.20 b 2018-01-12 08:38:10 syslog 
172.16.8.1 ! 2018-01-15 18:31:04 ayslog 


图 7-54 修改 接收 状态 
(23)“ 接 收 状 态 ” 一 柱 被 更 改 为 “允许 接收 ”, 如 图 7-55 所 示 。 


S SecFox-LAS 
- Atalean Cm Am "mss DOR x TIRES 
A UUB—.ECHmBÓNWPBHESEE 
sd xam Spero DS x 99 A ETSN 
Er ihit [vi-n i aiT 
172.16.28.30 D RERIBEEES 
172.16.8.100 i 2017-12-24 14:29:38 
Vn = i _ AEn 2018-01-15 18:31:04 
172.156.8.2 LT. 2017-12-20 10:06:57 
192.168.1.20 am f 2018-01-12 08:38:10 


图 7-55 人 允许 系统 接收 路 由 吉日 志 


加 
E! 
E] 
FI 
FI 
FI 


Z3 


ma 日 志 审 计 与 分 析 实 验 指 导 —— 


(24) 在 Windows 系统 的 winbox 中 ,选择 “规则 ”标签 页 ,双击 主题 为 critical 一 栏 ， 
如 图 7-56 所 示 。 


3 adminé1982.168.1.254 (NikroTik) = WinBox v5.20 on x86 (x86) 


remote 


remote 


图 7-56 打开 critical 规则 


(25) 单 击 " 动 作 "一 栏 的 下 拉 选 项 ,选择 echo, 单 击 “ 确 定 ” 按 钮 ,如 图 7-57 所 示 。 


a admain$41592.168.1.254  (NikroTik) WinBox v5.20 on x86 (x86) 


当前 4 项 GE d 130 


7-57 ”修改 critical 日 志 动 作 


6) 对 Linux 系统 进行 日 志 采 集 

(1) 选择 Redhat6.0 ,打开 Linux 系统 ,如 图 7-58 所 示 。 

(2) 在 登录 界面 中 ,输入 用 户 名 /密码 “root/123456”, 登 录 系 统 , 如 图 7-59 所 示 。 

(3) 修改 Linux 系统 的 时 间 ,使 其 与 管理 机 时 间 保 持 一 致 。 输 入 命令 “date -s 04/26/ 
2018”( 以 实际 时 间 为 准 ) ,修改 系统 日 期 ,如 图 7-60 所 示 。 

(4) 输入 命令 “date -s 17:57:40”( 以 实际 时 间 为 准 ) ,修改 系统 时 间 , 如 图 7-61 Bron. 
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172.16.8.100/24 


—Pn 


Windows XP 


GW: 192.168.1.254/24 


应 用 服务 器 192.168.1.16/24 
172.16.8.25/24 


7-58 打开 Linux 系统 


Red Hat Enterprise Linux Server release 6.8 (Santiago) 
kernel Z.6.32-71.616.x86 654 on an x86 64 


localhost login: root 

assword : 

Last login: Thu fpr Z6 11:48:88 on ttul 
IrootPB localhost "lt _ 


图 7-59 登录 系统 


ed Hat Enterprise Linux 5eruer release 6. 


ernel 2.6.32-7?71.616.x86 64 on an x86 54 


localhost login: root 

assword: 

ast login: Thu pr :48:88 0 

root localhost ~]# 
Thu fipr Z6 BH:BB:BBH CST ZH18 

roott localhost "1t 


图 7-60 ”修改 日 期 


Red Hat Enterprise Linux Server release 6.H (Santiaog 
Kernel Z2.6.3Z2-71.e16.x86 64 on an x&8b 64 


localhost login: root 
Password : 
Last login: Thu fipr Z6 11:48:88 on tty1 


[root localhost "1i date -s 0472672018 
hu fipr Z6 BB:BB:BB CST ZH18 

[root? localhost ^1i 
hu fipr 26 11:57:88 CST 2818 

[root localhost "1t _ 


图 7-61 修改 时 间 
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(5) 输入 命令 “clock -w”, 使 修改 生效 ,如 图 7-62 所 示 。 


ed Hat Enterprise Linux Seruer release 6.8 (Santiago 
iernel Z.5.3Z2-?1.e6e16.xB86 654 on an x85 64 


localhost login: root 
assword : 
ast login: Thu fipr Z6 11:48:88 on ttuy1 


[rooti9 localhost date -s B4^26^7/2H18 
F CST ZH18 
date -s 11:57:BB 
hu fipr Z6 11:57:08 CST ZH18 
[root? localhost ^18 | 
[root@localhost ~]# 


图 7-62 修改 生效 


(6) 输入 命令 “date”, 查 看 修改 后 的 系统 时 间 ,与 管理 机 时 间 一 致 ,如 图 7-63 所 示 。 


ed Hat Enterprise Linux Server release 6.8 (Santiago 
ernel Z2.6.3Z-?1.e16.x86 654 on an x86 64 


localhost login: root 


agin: Thu fipr Z6 11:48:88 on ttu1 
root? localhost "14 date -s 8472672818 
Thu pr 26 88:BB:BBH CST 2818 

root localhost "^ ]# date -s 11:57:HH 
Thu fipr Z6 11:57:88 CST 2818 

rootb localhost © ]# clock -w 

root localhost "1t 

Thu fipr Z6 11:58:15 CST 28618 

root? localhost "1i 


7-63 查看 修改 后 的 系统 时 间 


CD 输入 命令 “ifconfig”, 查 看 当前 的 网 络 配置 ,如 图 7-64 所 示 。 


hu fipr Z6 BB:B8B:8H CST 2818 

rootBg localhost "1t date -s 11:57:HH 
[hu fipr 26 11:57:88 CST 2818 
root@localhost "14 clock -w 

roott localhost J# date 

hu fipr Z6 11:58:15 CST 268618 


rootilocalhost 1t 
PthB Link encap:Etherne HWaddr BHZ:37:E1:DB:1C:14 


inet6 addr: Fe8BH::37?7:e1ff:fedB:1c14^/64 Scope:Link 

UP BROADCAST RUNNING MULTICAST  HMTU:1588 Metric:1 

HX packets:37Z errors:HB dropped:BH overruns:B frame:H 
TX packets:18 errors:B dropped:H aoverruns:H carrier: 
collisions:B txqueuelen: 1HBH 

HX bytes:63441 (61.9 KiB) TX bytes:45?Z2 (4.4 Kib) 


Link encap:Local Loopback 

inet addr:127.8.8.1  Mask:255.8.B8.H8 

inet6 addr: ::1/128 Scope:Host 

UP LOOPBACK RUNNING  MTU:16436  Metric:1 

HX packets:B errors:B dropped:H ouverruns:B frame:H 
TX packets:H errors:H dropped:BH overruns:H carrier:H 
collisions:B txqueuelen:B 

HX butes:H (8.8 b) TX bytes:H (H.H b) 


raotillocalhost "18 


图 7-64 查看 网 络 接口 信息 


(8) 输入 命令 "ifconfig eth0 172. 16. 8. 25 netmask 255. 255. 255. 0", 设置 etho 网 卡 
IP 地 址 为 “172. 16. 8. 25”, 按 Enter 键 后 ,再 次 输入 命令 “ifconfig”, 查 看 IP 地 址 是 否 设置 
成 功 , 如 图 7-65 所 示 , 
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Lroott localhost . 1]4 ifconfig ethH 17/2.16.8.25 netmask č 
[rnotB localhost "1t ifconfig 
ethH Link encap:Ethernet HWaddr WHZ:37:E1:DH:1C:14 
inet addr:172.16.8.25 )]Bcast:172.16.8.255 M Mask:255,255,255,.H 
inet6 addr: Fe8BH::37?7:e1ffF:fedB:1c14^/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST  MTU:15BB Metric:1 
HX packets:4H7 errors:B dropped:BH overruns:BH frame:H 
IX packets:18 errors:H dropped:B overruns:H carrier: 
collisions:B txqueuelen: 1HBH 
HX butes:697BZ (68.68 KiB) TX bytes:45?Z (4.4 KiB) 


Link encap:Local Loopback 

inet addr:127.8.8.1 Mask:eze55 .日 .日 .日 

imet6e addr: ::1^7/1Z28 Scoape:Host 

UP LOOPBACK RUNNING  MTU:16436  Metric:1 

HX packets:B errors:BH dropped:H overruns:H frame:H 
TX packets:H errors:H dropped:BH overruns:H carrier:H 
collisions:B txqueuelen:B 

HX butes:H (H.BH b) TX butes:H (8.8 b) 


[rooti? localhost "18 


7-65 设置 IP 地 址 


(9) 输入 命令 “vi /etc/rsyslog. conf" ,进入 Rsyslog 配置 文件 ,如 图 7-66 所 示 。 
rootg@localhost "lt vi ^etc^rsuslog.conf 


7-66 ”进入 配置 文件 


(10) 按 i 键 ,进入 输入 模式 ,如 图 7-67 所 示 。 


trsyslog v3 config file 


if you experience problems, check 
http:^^wuwuwu.rsuslog.com^troubleshoot for assistance 


iHuus MODULES Hid 
oModLoad imuxsock.so # provides support for local system 
H provides kernel logging support (p 


logd) 
ir5ModLoad immark.so # provides --MaáRK-- message capabili 


Provides UDP syslog reception 
#9ModLoad imudp.so 
ISUDPServerRun 514 


| Provides TCP syslog reception 
SModLoad imtcp.so 
ii$InputTCPSeruerRun 514 


gung GLOBAL DIRECTIVES 14H 


- INSERT -- 


图 7-67. 进入 输入 模式 


(11) 在 文件 末 添 加 “x*. »@172. 16.8.60”, HF ,“172. 16.8.60” 是 日 志 审 计 与 分 析 


系统 的 IP 地 址 ,如 图 7-68 Bron 
(12) 按 Esc 键 ,输入 命令 “:wq”, 保 存 并 退出 ,如 图 7-69 Bron, 
(13) 输入 命令 “service rsyslog restart”, 重 局 Rsyslog 服务 ,如 图 7-70 所 示 。 
(14) 在 管理 机 中 登录 日 志 审 计 与 分 析 系统 平台 ,依次 单 击 “ 资 产 ”一 “资产 日 志 ” 
着 单 击 “刷新 ”按钮 ,如 图 7-71 所 示 。 
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save boot messages also to boot.loqg 


laocal?.** 


### begin forwarding rule ### 

The statement between the begin ... end define a SINGLE forwarding 
rule. Theu belong together, do NUT split them. If you create multiple 
forwarding rules, duplicate the whole block? 

Remote Logging (ue use TCP for reliable delivery) 


ñn on-disk queue is created for this action. If the remote host is 
down, messages are spooled to disk and sent when it is up again. 


iSUorkDirectoru /A^var/spppl^rsuslog # where to place spool files 
IiSüctionQueueFileName fudRulei # unique name prefix for spool files 
iSáctionQueueMaxDiskSpace 1g # igb space limit (use as much as possible) 
iSáctionQueueSaueÜünShutdoun on # save messages to disk on shutdoun 
iStctionQueueType LinkedList it run asynchronous ly 
iSüctionResumeRetruCount -1 H infinite retries if host is down 


remote host is: name^/ip:port, e.g. 192.168.H.1:514, port optional 


EIE. üBremote- iie cia 


ttt end o LE rwarding rule iiu 


.* LEE T3 8.68. 


(15) 


图 7-68 ”修改 Rsyslog 配置 文件 


oaue boot messages also to boot. log 


### begin forwarding rule tiii 

The statement between the begin ... end define a SINGLE f 
rule. They belong together, do NOT split them. If you cre 
forwarding rules, duplicate the whole block? 

Remote Logging (ue use TCP for reliable delivery) 


hm on-disk queue is created for this action. If the remot 
doun, messages are spooled to disk and sent when it is up 
SWorkD irectory var/spppl/rsyslog # where to place spool f 
i5áctionQueueFileName fudRulei1 # unique name prefix for spo 
jüctionQueueMaxDiskSpace 1g # igb space limit (use as mu 
tSáctionQueueSaveÜUnShutdoun on # save messages to disk on s 
jüctionQueueTuype LinkedList # run asynchronous ly 
i5üctionResumeRetruCount -1 # infinite retries if host i 
remote host is: namezip:port, e.g. 192.168.H.1:514, port 
.x DPremote-host:514 
E ### end of the forwarding rule Hi 
e. |172.16.8.6HB 


图 7-69 退出 并 保存 Rsyslog 配置 文件 


[root?P localhost "14 service rsyslog restart 
Shutting doum system logger: 


Starting system logger: 
[IrootBP localhost 1t 


图 7-70 SUB HRS 


刷新 后 ,可 以 查看 地 址 为 Linux 系统 IP 地 址 ”172. 16.8. 25" HJ 9E H 


息 ,如 图 7-72 所 示 。 


计 与 分 析 系 统 可 以 及 时 接 ! 
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(16) 1 


选中 Linux 系统 IP X4 zz Bg xr Hau SEIS B.E “允许 接收 ”按钮 ， 
& Linux 系统 的 日 志 人 信息, 如 图 7-73 所 示 。 


E Ei 管理 信 


使 日 志 审 


PP 一 


IS SecFox-LAS 


"a 


G$zmlee-]Gm-e bau Des Dom Axe TRADE 


A D 资产 > 资产 日 志 > Haun 


允许 接收 SaS ELT «pue S 配置 告警 间 阿 
刷新 | 资产 地 址 
172.16.8.30 
1/2.16.8.100 
172.16.8.1 
172.106.8.2 


图 7-71 刷新 资产 日 志 信 息 


Üm Fa- | hp ban [se Css Ace Taane 
E aeo 碍 一 对 二 > BEER 
smit BEPA "gs EEE EEE 


kr- Hn e a HIRE- 
irz.16.8.30 pter Tim 

1200.100 zülz-I2-24 L;2* 20 
172.15 B.i r3 2018 0i 15 18:31-64 

E72. P.B.2 zO17-12-2D 1010657 


2010-01-13 ng:dB- D 
2010-0-1D 00:13:42 


2.253.1. 
172.165.025 


图 7-72 查看 Linux 日 志 管 理 信息 


miam gomc|o-- iam Ter DUR AUR TERAS 
s E ERI FHF » MACEDISRNN 
Fekk deme HHE # NK mtepgm 


I mea Eha Rue 
177.16.58.30 im ft [gs vi [ade ad 

172 165.100 [- 1017-12-24 14:20:38 

iO018.01-15 1:31:04 

2017-12-20 10:05:57 

1018-01-12 08: 38: 10 

J0L4-01-18 08:23:43 


图 7-73 单 击 “ 允 许 接 收 ” 


TERTE 


172.15.8.15 


(17)“ 接 收 状 态 ” 转 变 为 “人 允许 接收 ? 即 可 接收 日 志 信 息 , 如 图 7-74 所 示 。 


IŞ SECFOX-LAS ! 
3 Ĝan |e sa| Cue Lam Came Dum Ammo UCommne 
o UHTUOSN'H$WP'HOEBEB 

WEI  ogemden Smm xg # " 


Erb 
172.16.8.30 
172.15.8.100 


dE 2017-12-24 14:79:38 
172.16.8.25 jg Ar 2018-01-18 08:33:42 
172,10,.8.1 


2U18-D1-13 18:31:04 
2017-12-20 10:00:37 
2018-01-12 08:38:10 


172.106.8.2 
192.168.1.20 


图 7-74 接收 状态 被 修改 


7) 采集 数据 库 日 志 

(OD 登录 实验 拓扑 中 右上 和 角 的 数据 库 服务 兹 ,如 图 7-75 所 示 。 

(2) 在 系统 登录 界面 单 击 下 方 的 Other... 按 钮 ,如 图 7-76 所 示 。 

(3) 在 Username 中 输入 用 户 名 root, 并 单 击 “Log In” 按 钮 ,如 图 7-77 所 示 。 

(4) 在 Password 中 输入 登录 密码 123456 ,并 单 击 “Log In” 按 钮 ,如 图 7-78 所 示 。 

(5) 查看 右上 和 角 显 示 的 系统 的 时 间 ,使 其 与 管理 机 时 间 保 持 一 致 ,如 图 7-79 所 示 。 

(6) 系统 时 间 相 匹配 后 ,依次 单 击 左上 方 的 Applications 一 System Tools 一 
Terminal ,运行 终端 程序 ,如 图 7-80 所 示 。 
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mum HFa M 


172.16.8.100/24 


[ ] 172.16.8.30/24 


Windows XP 


GW: 192.168.1.254/24 


PC2 
应 用 服务 器 192.168.1.16/24 


172.16.8.25/24 
图 7-75 登录 数据 库 服务 器 


| SD. 


CentOS release 6.6 (Final) 


CentOS release 6.6 (Final) 


usemame: fo} | — — 
FIN 


图 7-76 登录 数据 库 系 统 图 7-77 输入 用 户 名 


CentOS release 6.6 (Final) 


图 7-78 输入 登录 密码 图 7-79 核对 系统 时 间 
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d 


w^ | Places System (E Æ 


S Accessories 


对 Graphics 


@ Internet 


iiy Sound & Video 


| | $ ) CD/DVD Creator 

root's Home i.) Disk Usage Analyzer 
[一 人 Q Disk Utility 

| | 国 | File Browser 


E| System Monitor 


7-80 32 ÍT m EE 


(7) 在 终端 程序 中 输入 命令 “mkdir -v /var/spool/rsyslog" . 8 Æ / var/spool/rsyslog 
目录 。 该 目录 为 MySQL 数据 库 对 应 的 Rsyslog 子 配置 文件 的 工作 目录 ,如 图 7-81 所 示 。 


rootilocalhost:- 


File Edit View Search Terminal Help 
[rootialocalhost ~]#| mkdir -v /var/spool/rsysloq 
mkdir: created directory /var/spool/rsyslog' 
[root@localhost ~]# f 


图 7-81 创建 目录 
(8) 输入 命令 “vi /etc/rsyslog. d/mysql-biglog. conf”, 新 建 Rsyslog 的 子 配置 文件 
mysql-biglog. conf ,如 图 7-82 所 示 。 


rooti&localhost:- 


File Edit View Search Terminal Help 


[rootaàlocalhost ~]# mkdir -v Apu ps dio pb 
ikdir: created directory __ 


7-82 新建 Rsyslog 子 配置 文件 


(9) FÈ Enter 键 , 进 入 新 创建 的 文件 ,此 时 文件 内 容 为 空 ,如 图 7-83 所 示 。 
(10) 按 i 键 ， 进入 输入 模式 在 文件 中 输入 配置 信息 : 


$InputEilealllneral 3 
$ WakDirectory /var/spool/rsysloe 
$PivDronTIoGrom adm 


$InputHileNane /var/log/nysql loe 
SInputHléEp msi dert 
$InputHile&ateHile stat, mysql alert 
$ InputHileSeverity info 
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.d/nracle-biglog.conf" [Mew File] 


图 7-83 进入 子 配 置 文件 


$tenplate BigloeFornmtM SL" anp n" 
if $programmane- = msqL aler then (017216860 5L1EBigloeFormat M SJL 
if $programmne- = nysq_alat then ~ 


将 日 志文 件 名 、 文 件 路 径 、 日 志 发 送 端 地 址 和 接口 等 信息 写 入 配置 文件 。 其 中 ， 
InputFileName 表示 需要 采集 的 日 志文 件 路 径 ,使 用 包 代 表 使 用 UDP 协议 “172. 16. 8. 
60” 代 表 日 志 接 收 端 的 IP 地 址 ,实验 的 日 志 接 收 闪 即 为 日 志 审 计 与 分 析 系 统 ,514 表示 日 
志文 件 的 接收 端口 ,如 图 7-84 所 示 。 


| mysal-biglog.conf 23€ 


'$ModLoad imfile 
$InputFilePollInterval 3 
$WorkDirectory /var/spool/rsyslog 
$PrivDropToGroup adm 


$InputFileName|/var/log/mysql.log 
$InputFileTag mysql alert: 


$InputFileStateFile stat mysql alert 
$InputFileSeverity info 
$InputFilePersistStateInterval 25008 
$InputRunFileMonitor 


$template BiglogFormatmysqLl, "*3msgsXn" 
if $programname == 'mysql alert' then|[0172.16.8.68:514;BiglogFormatmysql 
if $programname == 'mysql alert' then ~ 


图 7-84 编辑 子 配置 文件 


(11). 按 Esc 键 并 输入 命令 “:”, 关 闭 编辑 模式 ,在 下 方 的 提示 框 中 输入 wq, 标 识 写 入 
文件 并 关闭 编辑 硕 , 如 图 7-85 所 示 。 
(12) 返回 终 闪 程序 界面 后 ,再 输入 命令 "service rsyslog restart” ,重启 Rsyslog 服务 ， 
如 图 7-86 所 示 。 
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E root@localhost:~ 
File Edit View Search Terminal Help 

$ModLoad imfile 

$InputFilePollInterval 3 


$WorkDirector /var/spool/rsyslog 
$PrivDropToGroup adm 


$InputFileName /var/Llog/mysqLl.Llog 
$InputFileTag mysql alert 
$InputFileStateFile stat mysql alert 
$InputFileServerity info 
$InputFilePersistStateInterval 25000 
$InputRunFileMonitor 


$template BiglogFormatMySQL , "*:msg*sXn" 
if $programname--'mysql alert' then (172.16.8.60:514;BiglogFormatMySQL 
if $programname--'mysql alert' then - 


7-85 退出 编辑 状态 


rootilocalhost:- 
File Edit View Search Terminal Help 


[rootàlocalhost -]$ mkdir -v /var/spool/rsyslog 

kdir: created directory  //var/spool/rsyslog' 
[root&localhost ~]# vi /etc/rsysloq.d/mysql-biglog.conf 
[root&localhost ~]# 
Shutting down system Logger: 
Starting system logger: 

[rootGlocalhost -]4 J 


7-86 重启 Rsyslog 服务 


(13) 在 管理 机 中 登录 日 志 审 计 与 分 析 系 统 平 台 , 依 次 单 击 "资产 ”一 “资产 日 志 ”, 接 
大 单 击 “ 刷 新 ”按钮 ,可 以 查看 MySQL 数据 库 所 在 系统 的 IP 对 应 的 资产 日 志 管 理 信息 ， 
如 图 7-87 所 示 。 


(x ban Ter SER Xx Tant 
H Hmo bbrAt % BENDEN 
AMEH Smem ses mm 
Paral s | 
17z,.1E.B.30 Ri AHRNE S 
17216810J b 2018-01-18 15:55:32 
172.15.8.25 E: 2018-01-18 03:3% 42 
172.186.8.1 h fH 1 7018-01-13 18:31-04 
172.186.8.2 局 FERE 2017-12-20 310: 06-57 


AIR T 017.01- 2E Lu 
172168.3 2 E 2018-01-19 14:5549 


图 7-87 查看 Oracle 日 志 管 理 信 息 


(14) 选中 Oracle 数据 库 所 在 系统 的 IP 对 应 的 资产 日 志 管 理 信息 , 单 击 “允许 接收 ” 
按钮 ,使 日 志 审 计 与 分 析 系 统 可 以 及 时 接收 Oracle 的 日 志 信 息 , 如 图 7-88 所 示 。 
(15)“ 接 收 状 态 ” 转 变 为 “允许 接收 ”, 如 图 7-89 所 示 。 
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ss 日 志 审 计 与 分 析 实 验 指导 


5 SeckFox-LAS ——- ! 
和 主页 gc Cum D ARD Cone COSE AER * EHE 
& E Wo i Ot 4r Ahe 


Ener Sn pe ENSS 


Ar E ZEH KANAE- RAEE 
172.16.8.30 r ; Eire [a 
172.18.8.100 pln 2018-01-18 15:58:52 
172.15.8.25 Eh Fu 2018-01-18 09:33:42 
172.16.8.1 & Fn 2018-01-15 18:31:04 
172.16.8.2 | fT 2017-12-20 10:06:57 
192.168.1,20 ca FLÉFEE 2018-01-12 08:38:10 
172.16.8.3 X. 2018-01-18 14:52:40 


图 7-88 单 击 “人 允许 接收 ?” 


— 
IG. SecFox-LAS 
s Din Bx- Come hae TEs DER Axm € xa 
i 资产 > 资产 日 电 > N*WEÉEBEWm 
uii ol Tecum BENE xm JANEEEEREN 
— : Ese REPRE 
172.16.8.30 s 5 WERTE S 
172.16.8.100 9 fti 2018-01-18 15:56:52 
172.18.8.25 d 市 2018-01-18 58:33:42 
172.165.8.1 t fti 2018-01-15 18:31:04 
2017-12-20 10:06:57 
2018-01-19 14:52:40 
2018-01-12 08:38:10 


图 7-89 接收 状态 被 修改 


CD 在 管理 机 中 打开 舍 歌 浏览 疾 , 在 地 址 栏 中 输入 防火 墙 的 IP. 地址 “https:/ /10. 0. 0. 
1”( 以 实际 IP 地 址 为 准 ) ,进入 防火 场 的 登录 界面 ,和 输 和 人 管理 员 用 户 名 admin 和 密码 11fw 
(2)2soc # 3vpn" X$ s Jj Jc Hii XR ore Je pi A s] 7-90 所 示 。 


T 360FRRES—HERBESS x 


€ > C |A Rz | hapt//192.168.1.50/l0gin html. 


M admin 


新 一 代 智 慧 防火 二 


图 7-90 防火墙 登录 界面 
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(2) 用 户 使 用 软 认 密码 登录 防火 才 时 ,为 捉 忆 防火 才 系 统 的 安全 性 ,防火 才 系 统 会 捉 
示 用 户 修改 初始 密 取 ,本 实验 不 需要 修改 软 认 窗 但 , 单 击 "取消 "按钮 ,如 图 7-91 所 示 。 


修改 管理 员 密码 


图 7-91 修改 初始 密码 界面 


(3) 登录 防火 墙 设备 后 ,显示 防火 墙 的 面板 界面 ,如 图 7-92 所 示 。 


A 
€ > C |A FERE | bupS//192.168.1.50 


Sir 数据 中 心 处 下 中 心 EHI İSELER FIRELE EH 


AGAH 


接收 


544(bps) 


A08(bps) 
408(bps) 
ADB(bps) 


图 7-92 防火 墙 面板 界面 


(D. 首先 将 防火 墙 平台 的 系统 时 间 与 管理 机 的 时 间 进 行 统 一 ,选择 “系统 配置 ”命令 ， 
进行 时 间 调 整 ,如 图 7-93 所 示 。 

(5) 根据 管理 机 的 时 间 对 系统 时 间 进 行 调整 ,确定 修改 时 间 后 单 击 “确认 ”按钮 ,如 
图 7-94 所 示 。 

(6) 配置 网 络 接口 。 依 次 单 击 面板 上 方 导 航 栏 中 的 "网络 配置 ”一 ”接口 > ,显示 当前 
接口 列表 , 单 击 GE3 右 侧 “操作 ”中 的 笔 形 标志 ,编辑 GE3 接口 设置 ,如 图 7-95 所 示 。 

C) 在 弹出 的 “编辑 物理 接口 ?界面 中 ,GE3 是 模拟 连接 内 网 的 接口 ,因此 “安全 域 ” 设 
置 为 any 多 工作 模式 ?选中 "路 由 模式 ” 复 选 框 ,在 “本 地 地 址 列表 ”中 的 IPv4 标签 栏 中 , 单 
击 “ 十 添加 ”按钮 ,如 图 7-96 所 示 。 
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面板 分 析 中 心 数据 中 心 处 下 中 心 E ai ENEH MHAR 


系统 时 间 | 2018-01-24 18:47:29 GMT+8 Ean 


时 间 2018-01-24 18:47:25 


时 区 GMT+8 
p 认证 服务 钟 


及 用户 标识 


系统 时 间 2018-01-24 18:50:33 GMT+8 
时 间 2018-01-22 16:13:25 
时 区 «| 20184 ~P 
TETTE | 


DNS 


EGRDNSHIRSSER 
BEEEDNSHSSSER 
备 选 DNS 服务 器 16: 13:25 


| T xm I D se || Cmm | 


工作 模式 dE AER 


i 


LE] 


10.0.0 1/255,355 255 f 
182.16B.3,51/255,25 5.0.0 
Ínauzz 15:31! E len Tibe 54 
113.89.70.2/255 255.2550 
feas 2 15:31:58 6221: 5257 /E4 
172.16482/255,255,255,0 
Íeauz2 1531/5 len T Beo. 
fs216i31fFfseli6a659y64 


Hi 


ER E 


OE) 


Teanzz 15:1 f fee dibanart4 
1.11.1235. 255.2551) 
fesnzz15:31 5 feni Gaby 


[E] 


7-905 ”编辑 GE3 接口 


(8) 在 弹出 的 “添加 IPv4 本 地 地 址 ”界面 中 ,在 “本 地 地 址 ”中 输入 GE3 对 应 的 IP 地 
址 "172. 16. 8. 2”, 此 处 注意 与 日 志 审 计 与 分 析 系 统 的 GE2 对 应 的 IP 地 址 应 处 于 同一 网 
段子 网 掩 码 ? 输 入 “255. 255. 255. 0" , “类 型 ?设置 为 float, 如 图 7-97 所 示 。 

(9) 单 击 “确定 ?按钮 ,返回 “编辑 物理 接口 ?界面 ,确认 GE3 接口 信息 是 否 无 误 , 如 
图 7-98 所 示 。 

(10) 接 下 来 配置 

(11) 在 ”日志 配置 ?界面 单 击 " 添 加 ”按钮 ,为 防火 
所 示 。 


日 志 服 务 器 ,依次 单 击 “ 系 统 配置 > 日志 配 置 ”>, 如 图 7-99 所 示 。 
苗 平 台 添 加 日 志 服 务 亏 ,如 图 7-100 
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00:16:31:e1:6a:68 


00:00:00:10:03:00 


| (0-127) 3743 


图 7-96 编辑 GE3 接口 


本 地 地 址 ”| 172.16.8.2 : 


FH 255.255.255.0 | * 
类 型 float v | 


图 7-97 输入 GE3 对 应 IP 地 址 


pm 
| 


(e) Bih 
7 aci €— 
C] 172.16.8.2 255.255.255.0 


图 7-98 确认 GE3 接口 信息 
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分 析 中 心 数据 中 心 RRALLE PEE HII PIREU 


eo17-12-20 17:22:18 


GMT 48 MS 


ss | | ws j 


DNS 


BHEEDNSESESE 114.114.114.114 
ADNE 6.8.8.8 
STutDNIEBESE 


| ww | [ ma | 


$5 虚拟 系统 


I Ca 中 心 


7-99 进入 日 志 配 置 界 面 


日 志清 除 


图 7-100 RJ Hz HE AS ds 


(12)“ 服 务 厦 名称 ”输入 “ 日 志 审 计 与 分 析 系 统 ”“ 服 务 硕 地 址 ?根据 日 志 审 计 与 分 析 
系统 的 GE2 口 IP 输 入 ,本 实验 输入 “172. 16. 8. 60”, 协 议 设置 为 UDP ,端口 设置 为 514， 
配置 完 信 息 后 , 单 击 “ 确 定 ” 按 钮 ,如 图 7-101 所 示 。 


添加 服务 器 


服务 器 名 称 — 日 志 审 计 与 分 析 系统 
服务 器 地 址 。 | 172.16.8.60| 
| UDP 


| 514 


图 7-101 5 $8 Hos HR AS d dei a 


(13) RII H C A Arja HEA“ HP ART NE EERS E. UI] 7-102 所 示 。 

(140 为 了 方便 看 到 结果 ,在 "全 局 设置 条 件 ” 中 将 "服务 部 ?设置 为 “日 志 审 计 与 分 析 
系统 ”, 如 图 7-103 所 示 。 

(15) 选择 日 志 服 务 硕 ,如 图 7-104 所 示 。 
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图 7-102 


| --NONE-- 


图 7-103 
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(160 单 击 “确定 ”按钮 ,系统 提示 执行 成 功 , 如 图 7-105 所 示 。 
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(17) 为 你 证 日 志 可 以 顺利 发 送 , 再 要 对 防火 才 的 安全 策略 进行 配置 ,依次 单 击 “ 腰 略 
配置 "安全 采 略 "一 添加” ,如 图 7-106 所 示 。 


铸 据 中 心 abra 策略 配置 Xj MESME EXT 


EZ] NATRE 


安全 认证 r :| 名称 源 安全 域 目的 安全 域 源 地 址 /地 区 
[5] sig 


[el Ip-MACSEZE 


图 7-106 配置 安全 策略 


(18)“ 名 称 ?” 输 和 人 “全 通 策 了 略 ”, 其 他 设置 保持 默认 配置 不 变 , 单 击 “ 确 定 ” 按 钮 ,如 
图 7-107 所 示 。 


请 选择 源 安全 域 
E. 

| 请 选择 源 用 户 

| 请 选择 或 纺 入 源 地 址 /地 区 
请 选择 或 栓 入 目的 地 址 /地 区 
| 请 选择 服务 

| 请 选择 应 用 或 应 用 组 
E 

请 选择 时 间 


| 请 输入 VLAN 


[ 取 值 范围 0-4094 , 1&5t : 1.3.5-10 12) 


图 7-107 配置 全 通 策略 


略 ” 出 现在 安全 策略 列表 中 ,如 图 7-108 所 示 。 


(19) 单 击 “ 确 定 ” 按 钮 后 ,“ 全 通 特 


sms | [Hm | Dm | ias ]( A woes | Cm] 
jm Eht : 


目前 去 主 域 abb hE 


图 7-108 添加 全 通 策 略 成 功 


(20) 在 管理 机 中 打开 浏览 器 ,在 地 址 栏 中 输入 日 志 审 计 与 分 析 产 品 的 IP 地 址 
“https://10.70.25. 88”( 以 实际 IP 地 址 为 准 ), 打 开平 台 登 录 界 面 。 使 用 管理 员 用 户 名 / 
45 3" admin/ !1fw(22soc # 3vpn" XE 3 H zi tl d 5j 4) Pr RARE. 
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(21) 在 管理 机 中 登录 日 志 审 计 与 分 析 系 统 平台 进入 “资产 ”一 “资产 日 志 ”, 如 
图 7-109 所 示 。 


"S SecFox-LAS 


Qan ear] Qa nimm Des Dm Axe C xAEE 
a © PE E. 
资产 统计 摘要 | 资产 事件 统计 


CR Cm CR Ch Ch- Ca Qi adi 
刁 资产 对 象 
-O 防 火 墙 
-O 服务 器 


图 7-109 进入 资产 日 志 界 面 


(22) 选中 地 址 为 “172. 16. 8.2” 的 资产 , 单 击 “允许 接收 ”按钮 ,允许 接收 防火 填 平 台 
日 志 , 如 图 7-110 所 示 。 


€ meg > 赛 产 日 志 管 理 


mp PI kib # EESSI 


图 7-110 成 功 接收 日 志 


9) 对 日 志 文 件 进行 实时 监视 ,实时 分 析 ,趋势 分 析 , 间 隅 告警 ,事件 查询 

(OD 为 了 更 好 地 查看 这 一 阶段 的 实验 结果 ,从 虚拟 机 同日 志 审 计 与 分 析 系 统 发 送 日 
gs ,并 对 这 些 日 志 事 件 进行 分 析 等 操作 。 登 录 实 验 平 台 , 打 开 虚 拟 机 PC1, 对 应 实验 拓扑 
中 的 右 侧 设备 ,如 图 7-111 所 示 。 

(2) 进入 虚拟 机 后 ,为 保证 日 记 审 计 与 分 析 系 统 收 到 的 日 志文 件 时 间 与 虚拟 机 时 间 
一 致 ,首先 查看 虚拟 机 的 系统 时 间 与 管理 机 的 系统 时 间 是 否 一 致 ,如 人 果 不 一 致 , 则 双击 虚 
拟 机 界面 右 下 角 的 时 间 进 行 调 整 。 

(3) 根据 管理 机 时 间 对 虚拟 机 时 间 进 行 调 整 HE [RIA E JEDER d UAE Tx. 

(A). 进入 虚拟 机 园 面 ,打开 果 面 上 的 “实验 工具 ”。 

(5) 单 击 文件 夹 UDPSender。 

(6) UDPsender 是 模拟 防火 墙 日 志 发 送 的 工具 ,双击 图 标 UDPsender. exe, 打 开 文 件 
夹 中 的 日 志 发 送 工 具 。 

C 配置 日 志 发 送 的 相关 信息 , “协议” 设置 为 Syslog, 方式 ?设置 为 “ 按 速度 发 送 ”， 
“速度 ”输入 5, 然后 单 击 “ 初 始 化 通信 ”。 

(8) 消息 来 源 设置 为 "从 文件 ”, 单 击 ”..… 按钮 ,设置 为 目标 日 志文 件 。 

(9) 在 查找 范 于 中 的 “ 茧 面 >? 进入 “实验 工具 "目录 , 单 击 UDPSender 文件 夹 。 

(10) 进入 logfiles 进行 日 志文 件 选 择 , 本 实验 选择 “FW_LOG_DEOM. log”, 再 单 击 
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172.16.8.100/24 


” TIUS E HR 5 t 


PC2 
应 用 服务 器 192.168.1.16/24 
172.16.8.25/24 


图 7-111 打开 虚拟 机 PCI 


“打开 ”。 
(11) 在 目标 端 设 置 中 ,选中 序号 为 0 的 目标 , 单 击 "编辑 ?按钮 。 
(12) 将 目的 IP 地 址 设置 为 “日 志 服 务 器 的 IP 地 址 ” ,本 实验 设置 为 "172. 16. 8. 60". 
端口 设置 为 "514?”。 
(13) 完成 设置 后 ,核对 信息 配置 是 否 正确 ,然后 单 击 “发 送 ” 按 钮 。 
(14) 完成 日 志 发 送 过 程 后 ,在 管理 机 中 登录 日 志 审 计 与 分 析 系 统 平台 , 单 击 “ 资 
产 ”>“ 资 产 日 志 ”, 如 图 7-112 所 示 。 
IS SecFox-LAS — 
全 E 资 产 | X 事件 bow Tes CNR (xA FRADE 


资产 
引资 产 属 性 


C Cp Cg Ch Ch- C9 Q, ad 


C3 Er 
-O BXA 


图 7-112 进入 资产 日 志 界 面 


(15) 选中 资产 地 址 ”172. 16. 8. 100”, 单 击 " 人 允许 接收 ?和 ”局 用 ?按钮 ,以 允许 日 志 审 
计 与 分 析 系 统 接收 日 志 , 并 局 用 "是 否 告警 ” ,如 图 7-113 所 示 。 
(16) 登录 实验 平台 对 应 实验 拓扑 的 PCI 虚拟 机 ,如 图 7-114 所 示 。 
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st uri i — 9e FL s ETIEI 
172.16.8.100 i" 2017-12-17 14:17:53 


图 7-113 管理 资产 日 志 


172.16.8.100/24 


172.16.8.30/24 
Es 
| 
sy 


AUG e B o A 


GW: 192.168.1.254/24 
€» [ ] 


PC2 
应 用 服务 器 192.168.1.16/24 
172.16.8.25/24 


7-114 进入 虚拟 机 


(17) 在 虚拟 机 中 登录 日 志 审 计 与 分 析 系 统 平台 ,打开 虚拟 机 时 面 的 火狐 浏览 兹 ,如 
图 7-115 所 示 。 


7-115 FTF và, a8 


(18) fEXb EF HP f ACH SESS 2) rr^ im BJ IP 地 址 “https://172. 16. 8. 60" CH S 
bs IP 地 址 为 准 ), 打 开平 台 登 录 界 面 。 
(19) 出 现 “ 您 的 连接 不 安全 ”, 单 击 “ 高 级 ”按钮 。 
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(20) 在 “高 级 ”设置 中 , 单 击 “ 添 加 例外 ”按钮 。 

(21) 在 弹出 的 “添加 安全 例外 ?的 界面 , 单 击 ”" 确 认 安 全 例外 ”按钮 。 

(22) 添加 安全 例外 后 ,可 以 正常 登录 日 志 审 计 与 分 析 系 统 平台 ,输入 用 户 名 和 密码 
"admin/ ! 1fw(22soc € 3vpn" , 

(23) 系统 提示 需要 安装 “Adobe Flash Player”, 本 实验 无 须 安装 , 单 击 * 取 消 ” 按 钮 。 

(24) 选择 “系统 ”命令 ,进入 “系统 ”模块 ,如 图 7-116 所 示 。 


"ANS 
LLL S 
ummy 

EF 


日 志 采 集 说 明 


| 


图 7-116 进入 “系统 ”模块 
(25) 单 击 “日 志 解 析 文 件 ”, 进 行 日 志 解 析 文 件 的 导入 ,如 图 7-117 所 示 。 


X1$ 
S 系统 本 站 
-A 服务 器 配置 
E 事件 备份 归档 
dg 实 装 Windows 日 志 传 感 器 
: “ ERAP 
- ag 本 | 系统 自身 监控 
E M ) GooeleEar thiu 


E TURA 
-A 工具 与 插件 下 载 
p 事件 归并 配置 


图 7-117 单 击 日 志 解 析 文 件 


(260 JE AU H ERAF TE PE" A SR; SAP "wy 7-118 所 示 。 
| A BERRAR 
也 启用 SFA DE nk 


导入 日 志和 解析 交 性 
xit* 


请 选择 要 导入 的 Err xmlek& & .«xmlgg.zipzr ft) 


图 7-118 “日 志 解析 文件 管理 ”界面 
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(27) 选择 “桌面 > 上 的 “实验 工具 ”文件 夹 , 如 图 7-119 所 示 。 


查找 范围 [): (35 司 O ê em 


文件 名 多 :| E 


综合 课程 设计 o M 


CIEL ON. 
图 7-119 ”选择 “实验 工具 ”文件 夹 


(28) 选择 “NSG 360WS. xml”, 单 击 “ 打 开 ” 按 钮 ,如 图 7-120 所 示 。 


SRAD: [C) 实验 工具 J Qt m 


i MP Sender 
T F4 


我 最 近 的 文档 | NSG Legendsec 201T081T. xml 
3 
58 [E] 


文件 名 四 
KARN (D: 


图 7-120 ”选择 日 志 解 析 文 件 


(29) 选择 日 志文 件 完 成 后 , 单 击 “确定 ”按钮 ,如 图 7-121 所 示 。 


(30) 以 同样 的 方式 , 骨 次 村 入 存放 在 相同 路 径 下 的 日 记 解 析 文 件 “NSG_Legendsec_ 


20170817. xml”, 单 击 “ 确 定 ” 按 钮 ,如 图 7-122 所 示 。 


(3D 在 管理 机 中 登录 日 志 审 计 与 分 析 系 统 平台 ,依次 单 击 “ 系 统一 “日 志 解 析 文 
件 ”, 在 日 志 解 析 交 件 列 表 中 找到 文件 “NSG 360WS” 和 “NSG Legendsec 20170817", 8 


击 “ 启 用 ”按钮 ,如 图 7-123 所 示 。 
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O 系统 > RERE 
sx 使 导出 启用 SFA SE GBA 


FAHSH tf 


XR 浏览 ..，| NSG 360wS.xml 


iR EE ES AL B0 EL RS SER E PEC mie ev & «miim .zipze t) 


图 7-121 导入 日 志 解 析 文 件 之 一 


DE 系统 > 日 坟 解 析 支 件 管理 

Na dts 启用 SFA Saint Dra 

导 六 日 专 解析 文件 

浏览 ,,，| NSG Legendsec 20170817.xml M k 
取消 | 


请 选择 村 导入 的 日 志 解 析 妇 件 {.xml 或 包含 .Xml 的 ,Zip 去 件 ) 


图 7-122 导入 日 志 解 析 文 件 之 二 
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图 7-123 启用 日 志 解 析 文 件 
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100 事件 归档 设置 .生成 报表 

(1) 依次 单 击 " 系 统 配置 ”一 "事件 备份 归档 ” ,设置 数据 备份 的 相关 参数 ,如 图 7-124 
所 示 。 

(2) 单 击 "事件 备份 归档 ”后 ,进入 参数 配置 界面 ,在 “基本 配置 ?页 面 , 可 设置 “日 志 
动 备 份 时 间 间 隅 交 日 志保 存 最 长 时 间 六 日 志 备 份 保存 最 大 时 间 ” 和 ”日 志 数 据 大 小 告警 靖 
值 ?。 本 实验 中 的 参数 配置 保持 轩 认 设置 即 可 ,如 图 7-125 所 示 。 

(3) 由 于 报表 直接 生成 查看 结果 ,这 一 部 分 展现 在 实验 结果 中 。 


【实验 预期 】 
(1) 以 Web 和 SSH 的 方式 登录 日 志 审计 与 分 析 系统 成 功 。 
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BE 
E-REL Is 
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CERE PaA 


上 系统 》 事 件 备份 归档 

“基本 配置 | | 备份 归档 数据 雪 | | 配置 操作 | 
日 志 自 动 音 份 时 间 间 隔 ” 

日 志保 存 最 长 时 间 * 

日 志 备份 保存 最 大 时 间 * 

日 志 数据 大 小 告警 主 值 * 

当 超过 存储 空间 号 % 时 ， 是 殖 自 动 星际 已 过 期 备份 数据 或 数据 表 ? Oa OF 
是 否 将 事件 自动 备份 到 远程 FTP 服 务 器 ? Os (m 


inizi 
ipis Fine SES HNR. Sese SES PE Een pO SS 


图 7-124 “事件 备份 归档 ”设置 


日 志 自 动 备份 时 间 闻 jb 蜗 * 
日 志保 存 最 长 时 间 ” 

日 志 备份 保存 最 大 时 间 ” 
E ERI EL M 


SEHAT. BE ERCOSÉREISHESEHBE" 2 Og 


EE FEBPEEI EI RR DE ouf FTPRRSS S 7 


Og em 


ELERAN Bi ANa HEARE NR Lexi ftpBsss gs IF 


图 7-125 数据 备份 基本 配置 


(2) H P zhangjingli 可 以 正常 登录 。 
(3) 进行 IP 限制 后 ,用 户 xiaoli 无 法 登录 日 志平 台 。 
(4) 资产 手动 录入 和 批量 导入 成 功 。 


综合 课程 设计 mem 


(5) 日 志 系 统 成 功 收 集 到 Linux 系统 .数据 库 、 路 由 甫 .防火 场 等 设备 的 日 志 。 
(6) 日 志 系 统 成 功 接 收 到 WinXP 虚拟 机 发 送 的 日 志 。 


C) 日 志 售 发 后 ， 实 时 监视 ”和 ”实时 分 析 "成功 碍 到 接收 间 隅 告警 事件 。 
(8) 对 近期 收集 到 的 事件 进行 趋 劳 分析 ,得 到 事件 发 展 趋 努 。 
(9) 在 “告警 查询 "模块 中 ,成 功 查询 到 接收 间隔 告警 。 

(10) 事件 归档 设置 完成 后 ,手动 备份 和 手动 恢复 事件 成 功 。 
(11) 针对 接收 的 日 记事 件 , 成 功 生 成 预定 义 报表 和 日 定义 报表 。 


【实验 结果 】 


1) 以 SSH 和 Web 方式 成 功 登 录 日 志 审 计 与 分 析 系 统 成 功 
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CD 在 网 络 接口 配置 的 过 程 中 ,使 用 Xshell 工具 时 ,界面 中 出 现 “admin(@SecFox - 
LAS 一 ”, 说 明成 功 以 SSH 的 方式 登录 日 志 审 计 与 分 析 系 统 后 台 , 如 图 7-126 所 示 。 


图 7-126 登录 系统 后 台 


(2) TE TT PREL'PTTJT DUI, ar MA H RTT SS 2) DT IR BER IP 地 址 “10. 70. 25. 88”( 以 
实际 IP 地 址 为 准 ) ,输入 用 户 名 /密码 “admin/11fw@2soc#3vpn”, 单 击 “ 登 录 ” 按 钮 ,登录 
日 志 审 计 与 分 析 系 统 。 

(3) 登录 成 功 ,进入 日 志 审 计 与 分 析 系 统 主 界 面 ,如 图 7-127 所 示 。 


I$, SecFo x-LAS 


AH] ga Gm MO NE NO PE NLE 


SE: B 


Bp. Step. 
E Pe 
| 
—- FPTSS 


sums 
视图 H5 ESRB 


Ta 


m 0 155 SR 


DL S FS s RE AU 


图 7-127 日 志 审 计 与 分 析 系 统 主 界面 


2) 管理 员 用 户 zhangjingli 登录 成 功 
COD 单 击 界面 右上 角 的 “退出 ?按钮 ,退出 当前 登录 的 admin 用户 ,如 图 7-128 所 示 。 


Tv OO 


图 7-128 退出 当前 用 户 


(2) 登录 刚刚 创建 的 用 户 ,在 浏览 器 地 址 栏 中 输入 日 志 审 计 与 分 析 产 品 的 IP 地 址 
“https://10. 70. 25. 88” CH S Pr IP 地 址 为 准 ) ,打开 平台 登 录 界 面 , 使 用 用 户 名 /密码 
“zhangjingli/360testtest” 登 录 设 备 平台 ,如 图 7-129 所 示 。 
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有 


u qu: | 64000000000 


验证 码 : | 


图 7-129 登录 界面 


(3) 登录 后 ,需要 输入 原始 密码 和 新 密码 ,本 实验 没有 必要 修改 密码 ,所 以 “原始 密 
人 码 ”“ 新 密码 ”和 “确认 新 密码 ”都 输入 360testtest, 单 击 “ 确 定 ” 按 钮 。 

(4) 进入 用 户 界 面 后 ,查看 zhangjingli 的 用 户 权 限 , 发 现 作 为 审计 管理 员 的 功能 模块 
只 有 “系统 日 志 ”, 说 明 审 计 管理 员 主 要 负责 对 日 志 审 计 与 分 析 系 统 的 工作 状态 进行 监视 
与 管理 ,如 图 7-130 所 示 。 


图 7-130 查看 用 户 权 限 


3) xiaoli 经 过 IP 限制 后 无 法 正常 登录 

(OD 登录 实验 拓扑 上 方 的 PCI. 3s 1110] Visi o TE HU BEES UP d ACH EC TT S3 2r Pr AR BER 
IP Hi hk " https: //172. 16. 8. 60", 打开 平台 登录 界面 。 使 用 用 户 名 /密码 ”xiaoli/ 
360testtest” 进 行 登录 ,如 图 7-131 Bron . 


MGE AN xol 


图 7-131 用 户 登录 界面 


(2) 显示 用 户 被 限制 登录 ,登录 失败 ,如 图 7-132 所 示 。 

(3) 综 上 所 示 , 可 以 通过 日 志 审 计 与 分 析 设 备 对 用 户 登 录 进 行 限 制 ,满足 预期 要 求 。 

4) 资产 批量 录入 成 功 

OD 单 击 界 面 右 上 角 的 “退出 ”按钮 ,退出 当前 登录 的 admin 用 户 ,如 图 7-133 所 示 。 
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XED S50 查看 WW) 历史 (3) SEG IAM 帮助 


C |a |Z & *$ X 


F, 
"i 

i 1 

į 


用 户 该 限制 登录 ， 请 联系 管理 员 . 
ig [el 


图 7-132 用 户 登 录 失 败 


图 7-133 


退出 用 户 admin 


(2) 在 管理 机 中 打开 浏览 右 , 输 入 日 志 审 计 与 分 析 系 统 的 IP 地 址 10. 70. 25. 88”( 以 
实际 IP 地 址 为 准 ) ,输入 用 户 名 /密码 “admin/ 11lfw(@2soc#3vpn”, 单 击 登录” 按钮 ,登录 
日 志 审 计 与 分 析 系 统 。 


(3)“ 导 入 ”资产 文件 成 功 ,可 以 在 “资产 ”>* 资 产 对 象 "中 的 资产 列表 中 找到 刚刚 导 
入 的 资产 “防火 墙 *“ 防 火 墙 2" 和 * 防 火 墙 3”, 证 明 导 入 成 功 ,如 图 7-134 BER. 
设备 列表 资产 雪 件 统计 


Bue Ger ESA ËSH 


iE IP- 
192.168.1.50 


192.168.2.50 


设备 型 号 设备 位 置 
HEMA 北京 市 :北京 市 
EER d 水 京 市 :小 宗 市 
1902.168.3.50 IEAA 北京 市 :北京 市 


图 7-134 导入 资产 文件 成 功 
5) 采集 路 由 器 日 志 成 功 


COD 在 管理 机 中 打开 浏览 大 ,输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 10. 70. 25. 88”( 以 


实际 IP 地 址 为 准 ) ,输入 用 户 名 /密码 “admin/11fw(@2soc#3vpn”, 单 击 “ 登 录 ” 按 钮 ,登录 
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日 记 审 计 与 分 析 系 统 。 
(2) 在 管理 机 中 登录 日 记 审 计 与 分 析 系 统 平台 ,依次 单 击 “ 事 件 ” 一 “实时 监视 ”一 
收 的 外 部 事件 ”, 查 看 到 踏 由 各 日 记 规 则 修改 的 日 志 信 息 , 如 图 7-135 所 示 。 


parl 
IS SecFox-LAS. 


Grm B| Cm ban xm Sum Aza Uosmms 
A (O0 muto RSEN > MRRBUAESE 
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ZÍ ni- B-318D4 
à 01-15 18:31:01 [E | 


当前 每 秒 日 志 数 ; 0.01 ARSA.: 2 


01-15 18:31:05 

ü 

0 

172.106.8.1 

JERS 

192.168.1.60 

SecFoX LAS 20170705 172 


图 7-135 查看 修改 的 日 志 信 息 


6) 采集 linux 系统 日 志 成 功 
(1) 选择 Redhat6.0, 打 开 Linux 系统 ,如 图 7-136 Bro, 


172.16.8.100/24 


172.16.8.30/24 
poer 


dr BR S5 


GW: 192.168.1.254/24 


m 
hi4 | 


PC2 
应 用 服务 器 192.168.1.16/24 
172.16.8.25/24 


7-136 打开 Linux 系统 


(2) 输入 命令 “shutdown -r now". EJE Linux 系统 ,如 图 7-137 所 示 。 
(3) 在 管理 机 中 登录 日 志 审 计 与 分 析 系 统 平 台 ,依次 单 击 “事件 ”实时 监视 ”一 
收 的 外 部 事件 ”, 查 看 IP 地 址 为 “172. 16. 8. 25” 的 日 志 信 息 , 如 图 7-138 所 示 。 


261 


[x root&localhost: —/5 M] 
XEF) 编辑 (E) 查看 (V) 搜索 (S) ”终端 (T) 帮助 (H) 
[root@localhost $ H ]# [shutdown -r nowg] 


图 7-137 重启 Linux 系统 


ban Tes DnR A xm TERMAR 


CU BM o 实时 监视 > a 
mapew Ee 
EE n m we mA 4 & E | [ieni 


4*5 01-18 08:44:10 ] 172. 15.8.25 
; 01-18 08:44:10 [| ^ | 172.15.8.25 
x5 01-18 08:44:10 | 172,15.8.25 
a  OL-18 08:44:10 172. 15.8.25 
d5 Ol-i 084d: 10 | i72. 15.8.25 
3, 01-18 08:44:10 | 172. 15.8.25 
do 01-18 08:44:10 172.16.85.25 
25 01-18 08:44:10 172. 15.8.25 
4 01-18 08:44:07 | | 172. 15.8.25 
与 01-18 08:44:07 | 172,.15.8.25 


图 7-138 查看 日 志 信 息 


7) 采集 数据 库 日 志 成 功 
(D 在 终端 程序 中 继续 输入 命令 "service mysqld status”, 查 看 MySQL 服务 是 否 在 
运行 ,如 图 7-139 所 示 。 


root@localhost:~ 


File Edit View Search Terminal Help 
[root@localhost ~]# mkdir -v /var/spool/rsyslog 
mkdir: created directory `/var/spool/rsyslog' 
i[root&alocalhost ~]# vi /etc/rsyslog.d/mysql-biglog.conf 
[root@localhost ~]# service rsyslog restart 
Shutting down system logger: 
Starting system logger: 
[root@localhost ~]# service mysqld status 


mysqld (pid 1583) is running... 
[rootiàlocalhost -]£ mysql -u root -p 


Enter password: fj 


图 7-139 查看 MySQL 运行 状态 


(2) 从 显示 的 “mysqld is running" € HH MySQL 服务 运行 正常 ,再 输入 命令 “ mysql -u 
root -p”, 表明 使 用 MySQL 的 root 账户 登录 ,如 图 7-140 所 示 。 
(3) 输入 密 人 码 root, 显 示 数 据 流 连接 信息 ,并 显示 "mysql 二 ”, 表 明成 功 连 接 数 据 库 ， 
如 图 7-141 所 示 。 
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所 root&localhost:- 


File Edit View Search Terminal Help 


[rootalocalhost ~]# mkdir -v /var/spool/rsyslog 
mkdir: created directory '/var/spool/rsyslog' 


[rootalocalhost ~]# vi /etc/rsyslog.d/mysql-biglog.conf 
[rootaàlocalhost ~]# service rsyslog restart 

Shutting down system logger: 

Starting system logger: 

[rootaàlocalhost -]£ service mysqld status 

mysqld (pid 1583) is running... 

[rootàlocalhost ~]# 


Enter password: Bj 


图 7-140 登录 数据 库 


| E root@localhost:= 


File Edit View Search Terminal Help 


[root@localhost ~]# mkdir -v /var/spool/rsyslog 

mkdir: created directory `/var/spool/rsyslog' 
[root@localhost ~]# vi /etc/rsyslog.d/mysql-biglog.conf 
[root@localhost ~]# service rsyslog restart 

Shutting down system logger: 

Starting system logger: 

[root@localhost ~]# service mysqld status 

mysqld (pid 1583) is running... 

[root@localhost ~]# mysql -u root -p 

Enter password: 

Welcome to the MySQL monitor. Commands end with ; or wg. 
Your MySQL connection id is 2 

Server version: 5.1.73-log Source distribution 


Copyright (c) 2080, 2813, Oracle and/or its affiliates. All rights reserved. 
Oracle is a registered trademark of Oracle Corporation and/or its 


. Other names may be trademarks of their respective 


' or 'Xh' for help. Type 'Xc' to clear the current input statement. 


图 7-141 连接 数据 库 


(4) 输入 命令 “show databases;". 显示 数据 库 中 现 有 的 数据 库 列 表 , 如 图 7-142 
所 示 。 


ysqt> 


图 7-142 启动 数据 库 


(5) 在 管理 机 中 登录 日 记 审 计 与 分 析 系 统 平台 ,依次 单 击 “ 事 件 ”>“ 实 时 监视 ”>“ 接 
收 的 外 部 事件 ”, 查 看 IP 地 址 为 "172. 16. 8. 30” 的 数据 库 查 询 的 日 志 信 息 , 如 图 7-143 
Bra. 
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0O- E 
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nt s+ Agy Tpk DRR ARS FRADE 


a O 事件 > 实时 监视 > 接收 的 外 部 事件 
Aj —— 属性 


各 实时 分 析 全 运行 控制 XZT ARR SAR dyomr $ Si ee pu Qrir dest 国 左右 布局 


iy 事件 查询 
[7 itr 


Sil in 00 | d» 04-25 14:52:39 
C} Cp Cg Ch- Ch C2 
当前 每 秒 日 志 数 : 0.00 日 志 总 


G) 请 观 击 某 一 日 志 查 看 明 狙 … 


图 7-143 采集 到 日 志 信息 
(6) 双击 该 日 志 信 息 JI * ,可 查看 该 日 志 的 详细 信息 ,如 图 T- 144 所 示 。 


回 at 接收 时 间 ap — de 源 用 户 名 称 BAAO 设备 地 址 设备 类 型 
gum 172.16.8.30 /未 知 设备 


SecFox LAS 20171231 8891 
180425 14:54:02 2 Query show databases 


图 7-144 日 志 信息 详情 


(7) 日 志 审 计 与 分 析 系 统 实 现 了 对 数据 库 服 务 豆 日 志 信 息 的 采集 符合 预期 要 求 。 

8) 采集 防火 墙 日 志 成 功 

(OD 在 管理 机 中 打开 浏览 天 ,和 输入 日 志 审 计 与 分 析 系 统 的 IP 地 址 “10. 70. 25. 88”( 以 
实际 IP 地 址 为 准 ), 输 入 用 户 名 /密码 “adminy 1lfw(2soc 井 3vpn”, 单 击 “ 登 录 ?” 按 钮 ,登录 

日 志 审 计 与 分 析 系 统 。 

(2) 依次 单 击 “ 事 件 ” 一 “实时 监视 ”一 “接收 的 外 部 事件 ”, 如 图 7-145 所 示 。 

(3) 查看 接收 到 的 防火 墙 相关 日 志 , 如 图 7-146 所 示 。 

9) 仿 发 日 志 后 实时 监视 与 实时 分 析 场 景 查看 ,事件 趋势 分 析 , 告 党 事 件 查 询 

(1) 在 管理 机 中 重新 登录 日 志 审 计 与 分 析 系 统 平台 ,依次 单 击 “事件 ”一 “实时 监 
视 "一 ”接收 的 外 部 事件 ” ,如 图 7-147 所 示 。 
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图 7-145 单 击 “ 接 收 的 外 部 事件 ” 


aum Eme dlc. dant eem EE 


diem EDD Hmi 
172,.i15.8.10ü 
172, i5.8.10ü 
172, i5.8.10ü 
172, i15.8.10ü0 
172,18.8.10à 
172,15.8.10à 
172,15.8.10à 
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图 7-146 查看 防火 墙 日 志 
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图 7-147 接收 的 外 部 事件 
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(2) 可 以 在 “接收 的 外 部 事件 ”中 实时 查看 发 送 过 来 的 日 志 信 息 , 如 图 7-148 所 示 。 
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图 7-148 接收 日 志 成 功 


(3) 登录 实验 平台 对 应 实验 拓扑 左 侧 的 WXPSP3 虚拟 机 ,对 应 实验 拓扑 中 的 右 侧 设 
备 ,如 图 7-149 所 示 。 
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图 7-149 进入 虚拟 机 


(4) 停止 发 送 日 志 , 在 UDPsender 界面 单 击 “停止 ”按钮 。 

(5) 在 管理 机 中 登录 日 志 审 计 与 分 析 系 统 平 台 , 依 次 单 击 “ 事 件 ”" 实 时 监视 ”一 
yr 5 分 钟 产生 的 告警 事件 ” ,进入 “属性 ?界面 调整 时 间 设 置 ,将 "最 近 发 生 时 间 ?” 设置 为 “5 
天 ”, 如 图 7-150 所 示 。 

(6) 在 “最 近 5 分 钟 产 生 的 告警 事件 ”的 实时 监视 界面 ,可 以 看 到 产生 的 告警 事件 ,如 
图 7-151 所 示 。 

(7) 同样 在 “实时 监视 ”模块 , 单 击 “上 索 告 事件 ”, 进 入 “属性 ”界面 调整 时 间 设 置 ,将 “最 
近 发 生 时 间 ” 设 置 为 “5 R”, WA 7-152 所 示 。 
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图 7-150 时间 设置 
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图 7-151 实时 监视 告警 事件 
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图 7-152 “属性 ”界面 


(8) 在 “ 霍 告 事件 ”的 “实时 监视 ”界面 ,可 以 看 到 产生 的 告 老 事件 ,如 图 7-153 所 示 。 
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图 7-153 “实时 监视 ”界面 


(9) 在 管理 机 中 重新 登录 日 志 审 计 与 分 析 系 统 平 台 , 依 次 单 击 "事件 ?一 ”实时 分 
析 ”-“ 主 页 场景 ”一 “各 事件 总 数 统计 ”, 如 图 7-154 所 示 。 

(10) 可 以 发 现 停 止 发 送 日 志 后 ,实时 分 析 中 的 “各 事件 总 数 统计 ” 便 不 再 变化 ,即使 
单 击 “ 刷 新 ”, 数 量 也 是 不 改变 的 ,如 图 7-155 所 示 。 

(11) 实时 分 析 也 可 以 对 告警 事件 进行 分 析 , 单 击 " 主 页 场景 " ,选中 "各 告警 规则 事件 
统计 ”, 单 击 “ 修 改 ” 按 钮 ,如 图 7-156 所 示 。 


267 


mm 日 去 审计 与 分 析 实 验 : 指 - 陡 — me———— 


1$, SecFox-LAS | 


Aan guess] im De 
入 © 事件 > 实时 分 析 > 主页 场景 > AMHARA 
日 志 统计 图 。 ”日志 统计 数据 。 属性 


100 


O 使 用 最 多 的 10 个 应 用 协议 
“日 使 用 某 种 应 用 协议 最 多 的 
cU) 发 详 事 件 最 多 的 10 个 源 地 ， 
cL) AEXHRCKRS 107 B7 


EMELITUTETS 
OD) 各 种 类 型 设备 事件 量 统计 
-D 总 流量 最 大 的 10 个 应 用 协 
-O 接收 事件 最 多 的 10 个 目的 
“ 晤 接收 流量 最 大 的 10 个 资产 


图 7-154 各 事件 总 数 统 计 之 一 


EH: 172.106.6100 


图 7-155 各 事件 总 数 统计 之 二 


(12) 为 了 便于 观察 实验 结果 ,对 分 析 场 景 的 时 间 进 行 设 置 , 单 击 “属性 ”, 将 “最 近 发 
生 时 间 ” 设 置 为 “5 天 ”, 其 他 保存 默认 设置 , 单 击 “确定 ”按钮 ,如 图 7-157 所 示 。 
(13) 完成 设置 后 ,双击 场景 “各 告警 规则 事件 统计 ”, 如 图 7-158 所 示 。 
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| 关联 告警 事 件 


图 7-158 进入 实时 分 析 场 景 


(14) 可 以 看 到 日 志 停 止 发 送 后 ,日 志 审 计 与 分 析 系 统 产 生 了 告警 事件 ,并 可 以 通过 
实时 分 析 进 行 查看 ,如 图 7-159 所 示 。 
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图 7-159 查看 告警 事件 统计 


(15) 在 管理 机 中 重新 登录 日 志 审 计 与 分 析 系 统 平台 ,依次 单 击 “事件 ”一 “趋势 分 
析 ”, 如 图 7-160 所 示 。 
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图 7-160 进入 趋势 分 析 


(16) 进入 “趋势 分 析 ” 后 ,首先 新 建 趋 势 分 析 组 , 单 击 根 目录 “趋势 分 析 ”, 然 后 单 击 上 
方 的 “添加 ”按钮 ,如 图 7-161 所 示 。 

(17) 在 “添加 ”界面 ,输入 “名 称 ” 为 “安全 设备 趋势 组 ”, 这 个 趋势 组 中 主要 存放 关于 
安全 设备 的 趋势 分 析 情 况 ,如 图 7-162 所 示 。 
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图 7-161 新 建 趋势 分 析 组 图 7-162 新 建 趋势 分 析 组 
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d8) 选择 "安全 设备 趋 努 组 "以 进入 趋 努 组 ,然后 单 击 " 活 加 ”按钮 ,如 图 7-163 所 示 。 
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leis] ize leds Gh) date 5A 


O 名称 地 址 类 型 


图 7-163 添加 趋势 场景 
(19) 接 下 来 进行 趋势 场景 参数 配置 ,“ 名 称 ” 输 入 “防火 墙 日 志 趋 势 分 析 ”, 在 “数据 来 
源 ” 中 选择 "设备 地 址 ” ,并 输入 本 实验 之 前 发 送 日 志 的 虚拟 机 IP 地 址 “172. 16. 8. 100", 
“时 间 范 围 ” 选 中 “相对 时 间 ” 单 选 按钮 并 设置 为 “本 周 ”, 统 计 类 型 选中 “事件 数量 ” 单 选 按 
钮 ,如 图 7-164 所 示 。 


7-164 配置 趋势 场景 参数 


(20) 配置 参数 完成 后 ,核对 参数 , 单 击 下 方 的 “确定 ”按钮 ,如 图 7-165 所 示 。 

(21) 在 趋势 分 析 结 果 界 面 ,上 半 部 分 展示 的 是 来 自 “172. 16. 8. 100” 的 事件 的 数量 趋 
势 图 ,下 半 部 分 展示 了 每 半 个 小 时 内 ,日 志 系 统 接收 的 事件 数量 ,可 以 看 出 事件 的 数量 呈 
上 升 趋 势 , 如 图 7-166 所 示 。 

(22) 接 下 来 进行 告 导 规 则 的 配置 , 单 击 “ 规 则 ”一 “告警 规则 ”, 进 入 规则 列表 , 如 
图 7-167 所 示 。 

(23) 本 实验 之 前 产生 的 告警 是 “资产 日 志 接 收 状 态 告警 ”, 现 在 选中 "资产 日 志 接 收 
TAE ERU A YE. , 单 击 “ 司 用 ”按钮 ,如 图 7-168 所 示 。 

(24) 设置 告警 规则 的 时 间 ,选中 “资产 日 志 接 收 状态 告警 ” 复 选 框 , 单 击 “ 修 改 ” 按 钮 ， 
如 图 7-169 所 示 。 
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图 7-166 ”趋势 分 析 
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图 7-167 配置 告警 规则 
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图 7-168 局 用 告警 规则 
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(25) 单 击 “计数 ”, 将 "时 间 范 围 ? 设 置 为 5 天 ,如 图 7-170 所 示 。 
(26) 单 击 “ 告 区 查 询 ”, 对 告 葡 事件 进行 查询 ,如 图 7-171 Bron, 
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图 7-170 告警 规则 时 间 设 置 


ERE 
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2013-08-29 10:44:20 
2015-05-12 19:07:40 


告警 规则 后 ,查询 结果 就 会 显示 在 “告警 查询 ”中 ,如 图 7-172 所 示 。 
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图 7-172 


SAHR 


10) 事件 手动 备份 .手动 恢复 成 功 


(1) 单 击 “系统 "一 “事件 备份 归档 ”, 并 单 击 “备份 归档 数据 表 ” ,如 图 7-173 所 示 。 
(2) 由 于 日 志 审 计 与 分 析 系 统 刚 刚 接收 到 事件 ,在 “ 待 备份 效 据 "中 选中 数据 


20180126 , 单 击 "手动 备份 ”按钮 ,如 图 7-174 所 示 。 
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图 7-174 手动 备份 数据 


(3) 界面 下 方 显示 手动 备份 成 功 , 如 图 7-175 所 示 。 
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图 7-175 手动 备份 成 功 
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CD 在 “已 备份 数据 ?中 找到 刚刚 手动 备份 的 数据 20180126 , 单 击 “ 手 动 恢 复 ?” 按 钮 ,如 
图 7-176 所 示 。 


D20180118 - 
^L 120180119 
"7L ]20180120 
7L 120180121 
“| 120180122 
^L 120180123 
‘~ [120180124 
[120180125 


图 7-176 手动 恢复 数据 
(5) 单 击 “系统 日 志 ”, 下 方 显 示 手 动 恢复 成 功 ,如 图 7-177 所 示 。 


SecFox-LAS 
=a .. On Err 6 me ba Ter DER AIR | 


HRE 


LES M kgh ape 
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D1-2B 14:01:31 192.168.1.100 
[] D1-28 44:02:02 O O 132.168.1.100- 


图 7-177 手动 恢复 成 功 
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11) 查看 生成 的 预定 义 报 表 、 目 定义 报表 
(OD 在 省 理 机 上 重新 登录 日 志 审 计 与 分 析 系 统 平台 ,依次 单 击 “报表 ” 王 “ 预 定义 报 
表 ”“ 等 级 化 保护 报表 组 ”>“ 网 络 安全 报表 组 ”一 “防火 墙 设备 报表 组 ”>“ 表 -4 Dl Aon 
各 事件 总 数 统 计 ”, 如 图 7-178 所 示 。 
报表 
T 预定 义 报表 
E] 自 定义 审计 报表 
T 综合 审计 报告 
T 中 间 表 管理 
D 日 志 分 析 报 告 


预定 祥 报 表 


CJ UTM 设 备 

田 - 门 ] 策略 变更 审计 报表 

| EHC3 网 络 安全 报表 组 

O DO Mma 


O EE RER 
00 E e S udo 
EE g XLI s 


f] PEE 
”| MS EA IRR t 
MM AE LT SD E. 
| E 9C) 入 侵 检 测 没 备 报表 组 

”图 -向 网 络 设备 报表 组 

| 图- 站 应 用 安全 报表 组 

由 -站 主机 安全 报表 组 

HO 流量 审计 报 雪 

HO Rises 

由 -站 事件 趋势 图 

H-O 数据 库 寅 计 系统 报表 

由 -个 终端 审计 系统 

EC) 总 体 报表 


图 7-178 打开 预定 义 报表 


(2) 单 击 “ 预 哆 ”按钮 , 预 贤 报 表 内 容 , 如 图 7-179 所 示 。 


E dERO HeEXIER BeUIBRERTGB > Xa RAISE EHAR H 


e Rsoict e E endi | 


图 7-179 单 击 “ 预 览 ” 


(3) 配置 预览 参数 ,“ 时 间 范 围 ” 选 中 “相对 时 间 ” 单 选 按 钮 并 设置 为 “本 天 ”,TOP 设 
置 为 10, 单 击 “ 确 定 ” 按 钮 ,如 图 7-180 所 示 。 
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图 7-180 配置 预览 参数 


(4) TU dg de" R- 防火 墙 各 事件 忆 数 报表 "内容, 可 以 看 到 “设备 地 址 “事件 名 称 ” 
和 ”计数 "等 信息 ,预先 完成 后 单 击 “返回 ?按钮 ,如 图 7-181 所 示 。 


岛国 | tg) ERES RIM 4 niD Eol] 


表 -4 防火 墙 各 事件 总 数 报表 


报表 对 间 范 园 -2017-12-23 00:00 — 2017-12-24 00:00 ”报表 生 成 时 间 -2017-12-23 16:23 
i 2.500 
七 

0 


A 
te Hihi: 
m | 亲疏 描 渡 上 日志 E Match security policy, name: [3], action: [permit] 
Drop packets by session limit rule, name:[ipflaad] 
E Match security policy name: [BSP ^ Sx] action: [deny] 
B Match security policy, name:[Sz153192?85:0], action: [deny] 


E Match security policy, name: [edel hero], action: [permit] 
Drop packets by session limit rule, name: [;E i5 t JL Heb TE p 35 i n b] 


ar 


Match security policy, name:[to, *fl tA En n, action: [permit] 


i= HHn 囊 件 名 称 


172.16. E. 100 Match zecuritr policy, rame: [i], 
action: [permit] 

i72.16. E. 10t Drop packets by session limit rule, 
name: [ipflocd] 

i72.16. E. 100 Mitch zecuritr policy, mms: [£8 
EÉ-LER] actism:[üeny) 

172.16. E. 100 Match securitr policy, name:[ 
inHg], artion:[denr]l 

172.16. E. 100 Mitch securitr policy, name: [WE 
TRUE ], actisn-[permit. 

i172.16. E&. i106 Drop packets by session limit rule. 
nime: [AARE LHE IRI] 

172.16. E. 100 Match securitr policy, rams:[to AEUW|z 
BERAG, acrtipn:[perzit] 


图 7-181 预览 报表 
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m— 第 7 章 综合 课程 设计 o me 
(5) 由 预览 预定 义 报表 可 知 ,日 志 审 计 与 分 析 系 统 收 到 了 多 种 防火 墙 事 件 ,事件 名 称 
各 不 相同 ,如 果 和 需要 只 针对 “防火 填 流 日 志 ” 事 件 的 计数 生成 报表 ,首先 单 击 “报表 ”一 “日 
定义 审计 报表 ”, 单 击 “ 添 加 ”按钮 ,如 图 7-182 所 示 。 


IS SecFox-LAS 
3 


Qin Ep (m haw |T s| 2ER AzA TRAAT 
报表 六” 报表 >》 目 定 尖 审计 报表 BiEXdEXO 报表 列表 

T 综合 审计 报告 

T 中 间 表 管理 

T 日 志 分 析 报告 


图 7-182 添加 自 定义 报表 


(6) 接 下 来 配置 自 定义 报表 ,“ 名 称 ” 输 入 “防火 墙 流 日 志 计 数 ”, “报表 标题 "输入 “ 防 
火 墙 流 日 志 ”, 单 击 “ 下 一 步 ” 按 钮 ,如 图 7-183 所 示 。 


O 报表 > 自 定义 审计 报表 > 自 定义 报表 > 新 增 报表 


Et 
ER 


图 7-183 配置 自 定 义 报 表 


(7) 报表 类 型 选中 “数据 报表 ” 单 选 按 钮 , 义 选 “是 否 显 示 统 计 图 ” 复 选 框 , “数据 源 ” 设 
置 为 “针对 通用 数据 源 统 计 ”, 在 “设置 报表 显示 的 列 ” 中 ,选中 “事件 名 称 ” 和 “计数 ” 复 选 
框 ,并 单 击 “ 事 件 名 称 ” 后 面 的 G, 将 “事件 名 称 ” 设 置 为 分 组 , 单 击 “ 下 一 步 ” 按 钮 ,如 图 7-184 
所 示 。 
(8) 设置 目 定 义 报 表 的 条 件 ,在 “条件 字段 "中 选中 "事件 名 称 ”, 并 将 "条 件 操作 符 UE 
置 为 “等 于 ”, “条件 值 ” 输 入 “防火 墙 流 日 志 ”, 单 击 “ 下 一 步 ” 按 钮 ,如 图 7-185 Bron. 
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图 7-184 配置 自 定 义 报 表 之 一 


: 


图 7-185 配置 目 定 义 报表 之 二 


(9)“ 统 计 图 配置 ? 均 保 持 默认 配置 即 可 , 单 击 “完成 ?按钮 ,如 图 7-186 所 示 。 
(10) 在 报表 列表 中 选中 刚刚 创建 的 自 定义 报表 “防火 墙 流 日 志 计 数 ”, 单 击 “ 预 览 ? 按 
钮 ,查看 报表 内 容 , 如 图 7-187 所 示 。 
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DE Enid rac O BENEA > Io 


BENE 
Sease e 二 淮 柱 闪 堆 积 国 OSEE O —PRMEHRERE OTRE O eE OTRE 


20 
T EXPE | M 
10 | 
21 BE NH | 
" | 
Jan Fali Mar 


事件 名 称 [COUNT(name)] v 
EL 


RHE O 步 送 流量 Oka COE COWERBRER Oo OAR 


(D 报表 > 自 定义 审计 报表 》 自 定义 报表 o die 
Han Bes “为 复 制 模板 到 “ 导入 模板 $ 导出 模板 国 删除 [oce P 下 载 已 生成 报表 文件 = 


名 称 报表 标题 
SCIES ERE RA M tes H ss 


图 7-187 预览 目 定 义 报 表 
(11) 配置 预览 参数 ,保持 默认 设置 , 单 击 “确定 ”按钮 ,如 图 7-188 所 示 。 


加 报表 > 自 定 兴 审 计 报 去 GELRE > REA 
EM 
时 间 范 转 


[EE 到 


图 7-188 配置 预览 参数 
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(12) HERRA E. A A 3 R XA PRA B K a H a” RAFT RET, Un 
图 7-189 所 示 。 


B Jr it Hs 


iR3&ETBISEES-2018-01-24 00:00 — 2018-01-25 00:00 ix" gEPTIB)-2018-01-24 16:45 


事件 名 称 


WU dd Ha 


图 7-189 目 定义 报表 内 容 


【实验 思考 】 
针对 日 志 审 计 与 分 析 系 统 的 管理 工作 有 什么 工作 和 建议 ? 
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